Tehdit aktörlerinin, Microsoft Windows’ta artık yamalanmış bir güvenlik açığından yararlanarak, adı verilen açık kaynaklı bir bilgi çalıcıyı dağıttıkları gözlemlendi. Phemedrone Hırsızı.
Trend Micro araştırmacıları Peter Girnus, Aliakbar Zahravi ve Simon Zuckerbraun, “Phemedrone, web tarayıcılarını ve kripto para cüzdanlarından ve Telegram, Steam ve Discord gibi mesajlaşma uygulamalarından gelen verileri hedefliyor” söz konusu.
“Ayrıca ekran görüntüleri alıyor ve donanım, konum ve işletim sistemi ayrıntılarıyla ilgili sistem bilgilerini topluyor. Çalınan veriler daha sonra Telegram veya onların komuta ve kontrol (C&C) sunucusu aracılığıyla saldırganlara gönderiliyor.”
Saldırılar etkili oluyor CVE-2023-36025 (CVSS puanı: 8,8), Windows SmartScreen’de bir güvenlik atlama güvenlik açığı olup, kullanıcının özel hazırlanmış bir İnternet Kısayolunu (.URL) veya bir İnternet Kısayolu dosyasına işaret eden bir köprüyü tıklaması için kandırılarak istismar edilebilir.
Aktif olarak yararlanılan eksiklik, Microsoft tarafından Kasım 2023 Salı Yaması güncellemelerinin bir parçası olarak giderildi.
Bulaşma süreci, tehdit aktörünün Discord’da veya FileTransfer.io gibi bulut hizmetlerinde kötü amaçlı İnternet Kısayolu dosyaları barındırmasını içerir; bağlantılar ayrıca URL kısaltıcılar kullanılarak maskelenir. Kısa url.
Bubi tuzaklı .URL dosyasının yürütülmesi, aktör tarafından kontrol edilen bir sunucuya bağlanmasına ve CVE-2023-36025’ten yararlanarak Windows Defender SmartScreen’i atlatacak şekilde bir kontrol paneli (.CPL) dosyası yürütmesine olanak tanır.
Araştırmacılar, “Kötü amaçlı .CPL dosyası Windows Denetim Masası işlem ikili programı aracılığıyla yürütüldüğünde, DLL’yi yürütmek için rundll32.exe’yi çağırıyor” dedi. “Bu kötü amaçlı DLL, daha sonra GitHub’da barındırılan saldırının bir sonraki aşamasını indirmek ve yürütmek için Windows PowerShell’i çağıran bir yükleyici görevi görüyor.”
Takip eden yük, Phemedrone Stealer’ın şifresini çözen ve çalıştıran açık kaynaklı bir kabuk kodu yükleyicisi olan Donut için başlatma paneli görevi gören bir PowerShell yükleyicisidir (“DATA3.txt”).
C# ile yazılan Phemedrone Stealer, geliştiricileri tarafından aktif olarak sürdürülmektedir. GitHub Ve Telgrafhassas bilgilerin güvenliği ihlal edilmiş sistemlerden çalınmasını kolaylaştırır.
Bu gelişme, bir kez daha, tehdit aktörlerinin giderek daha esnek hale geldiklerinin ve saldırı zincirlerini, yeni açıklanan açıklardan yararlanmak ve maksimum hasar verecek şekilde hızla adapte ettiklerini gösteren bir işaret.
Araştırmacılar, “Yamalanmış olmasına rağmen, tehdit aktörleri CVE-2023-36025’ten yararlanmanın ve Windows Defender SmartScreen korumalarından kaçmanın yollarını bulmaya devam ederek kullanıcılara fidye yazılımı ve Phemedrone Stealer gibi hırsızlar da dahil olmak üzere çok sayıda kötü amaçlı yazılım türü bulaştırıyor” dedi.