Se ha observado que los actores de amenazas aprovechan una falla de seguridad ahora parcheada en Microsoft Windows para implementar un ladrón de información de código abierto llamado Ladrón de femedronas.
“Phemedrone apunta a navegadores web y datos de carteras de criptomonedas y aplicaciones de mensajería como Telegram, Steam y Discord”, afirman los investigadores de Trend Micro Peter Girnus, Aliakbar Zahravi y Simon Zuckerbraun. dicho.
“También toma capturas de pantalla y recopila información del sistema sobre el hardware, la ubicación y los detalles del sistema operativo. Los datos robados luego se envían a los atacantes a través de Telegram o su servidor de comando y control (C&C)”.
Los ataques aprovechan CVE-2023-36025 (Puntuación CVSS: 8,8), una vulnerabilidad de elusión de seguridad en Windows SmartScreen, que podría explotarse engañando a un usuario para que haga clic en un acceso directo a Internet (.URL) especialmente diseñado o en un hipervínculo que apunte a un archivo de acceso directo a Internet.
Microsoft abordó la deficiencia explotada activamente como parte de sus actualizaciones del martes de parches de noviembre de 2023.
El proceso de infección implica que el actor de la amenaza aloje archivos maliciosos de accesos directos a Internet en Discord o servicios en la nube como FileTransfer.io, y los enlaces también se enmascaran mediante acortadores de URL como URL corta.
La ejecución del archivo .URL con trampa explosiva le permite conectarse a un servidor controlado por un actor y ejecutar un archivo del panel de control (.CPL) de una manera que elude Windows Defender SmartScreen aprovechando CVE-2023-36025.
“Cuando el archivo malicioso .CPL se ejecuta a través del proceso binario del Panel de control de Windows, a su vez llama a rundll32.exe para ejecutar la DLL”, dijeron los investigadores. “Esta DLL maliciosa actúa como un cargador que luego llama a Windows PowerShell para descargar y ejecutar la siguiente etapa del ataque, alojada en GitHub”.
La siguiente carga útil es un cargador de PowerShell (“DATA3.txt”) que actúa como plataforma de lanzamiento para Donut, un cargador de código shell de código abierto que descifra y ejecuta Phemedrone Stealer.
Escrito en C#, sus desarrolladores mantienen activamente Phemedrone Stealer en GitHub y Telegramafacilitando el robo de información confidencial de sistemas comprometidos.
El desarrollo es una vez más una señal de que los actores de amenazas se están volviendo cada vez más flexibles y adaptando rápidamente sus cadenas de ataque para capitalizar los exploits recientemente revelados e infligir el máximo daño.
“A pesar de haber sido parcheados, los actores de amenazas continúan encontrando formas de explotar CVE-2023-36025 y evadir las protecciones SmartScreen de Windows Defender para infectar a los usuarios con una gran cantidad de tipos de malware, incluido ransomware y ladrones como Phemedrone Stealer”, dijeron los investigadores.
About the Author
