Se ha observado que los actores de amenazas aprovechan una falla de seguridad ahora parcheada en Microsoft Windows para implementar un ladr\u00f3n de informaci\u00f3n de c\u00f3digo abierto llamado Ladr\u00f3n de femedronas<\/strong>.<\/p>\n “Phemedrone apunta a navegadores web y datos de carteras de criptomonedas y aplicaciones de mensajer\u00eda como Telegram, Steam y Discord”, afirman los investigadores de Trend Micro Peter Girnus, Aliakbar Zahravi y Simon Zuckerbraun. dicho<\/a>.<\/p>\n “Tambi\u00e9n toma capturas de pantalla y recopila informaci\u00f3n del sistema sobre el hardware, la ubicaci\u00f3n y los detalles del sistema operativo. Los datos robados luego se env\u00edan a los atacantes a trav\u00e9s de Telegram o su servidor de comando y control (C&C)”.<\/p>\n Los ataques aprovechan CVE-2023-36025<\/a> (Puntuaci\u00f3n CVSS: 8,8), una vulnerabilidad de elusi\u00f3n de seguridad en Windows SmartScreen, que podr\u00eda explotarse enga\u00f1ando a un usuario para que haga clic en un acceso directo a Internet (.URL) especialmente dise\u00f1ado o en un hiperv\u00ednculo que apunte a un archivo de acceso directo a Internet.<\/p>\n Microsoft abord\u00f3 la deficiencia explotada activamente como parte de sus actualizaciones del martes de parches de noviembre de 2023.<\/p>\n El proceso de infecci\u00f3n implica que el actor de la amenaza aloje archivos maliciosos de accesos directos a Internet en Discord o servicios en la nube como FileTransfer.io, y los enlaces tambi\u00e9n se enmascaran mediante acortadores de URL como URL corta<\/a>.<\/p>\n La ejecuci\u00f3n del archivo .URL con trampa explosiva le permite conectarse a un servidor controlado por un actor y ejecutar un archivo del panel de control (.CPL) de una manera que elude Windows Defender SmartScreen aprovechando CVE-2023-36025.<\/p>\n “Cuando el archivo malicioso .CPL se ejecuta a trav\u00e9s del proceso binario del Panel de control de Windows, a su vez llama a rundll32.exe para ejecutar la DLL”, dijeron los investigadores. “Esta DLL maliciosa act\u00faa como un cargador que luego llama a Windows PowerShell para descargar y ejecutar la siguiente etapa del ataque, alojada en GitHub”.<\/p>\n La siguiente carga \u00fatil es un cargador de PowerShell (“DATA3.txt”) que act\u00faa como plataforma de lanzamiento para Donut, un cargador de c\u00f3digo shell de c\u00f3digo abierto que descifra y ejecuta Phemedrone Stealer.<\/p>\n Escrito en C#, sus desarrolladores mantienen activamente Phemedrone Stealer en GitHub<\/a> y Telegrama<\/a>facilitando el robo de informaci\u00f3n confidencial de sistemas comprometidos.<\/p>\n El desarrollo es una vez m\u00e1s una se\u00f1al de que los actores de amenazas se est\u00e1n volviendo cada vez m\u00e1s flexibles y adaptando r\u00e1pidamente sus cadenas de ataque para capitalizar los exploits recientemente revelados e infligir el m\u00e1ximo da\u00f1o.<\/p>\n “A pesar de haber sido parcheados, los actores de amenazas contin\u00faan encontrando formas de explotar CVE-2023-36025 y evadir las protecciones SmartScreen de Windows Defender para infectar a los usuarios con una gran cantidad de tipos de malware, incluido ransomware y ladrones como Phemedrone Stealer”, dijeron los investigadores.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Los-piratas-informaticos-aprovechan-la-falla-de-Windows-para-implementar.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n