Des acteurs malveillants ont été observés tirant parti d’une faille de sécurité désormais corrigée dans Microsoft Windows pour déployer un voleur d’informations open source appelé Voleur de Phémédrone.
« Phemadrone cible les navigateurs Web et les données des portefeuilles de crypto-monnaie et des applications de messagerie telles que Telegram, Steam et Discord », ont déclaré Peter Girnus, Aliakbar Zahravi et Simon Zuckerbraun, chercheurs de Trend Micro. dit.
« Il prend également des captures d’écran et rassemble des informations système concernant le matériel, l’emplacement et les détails du système d’exploitation. Les données volées sont ensuite envoyées aux attaquants via Telegram ou leur serveur de commande et de contrôle (C&C). »
L’effet de levier des attaques CVE-2023-36025 (score CVSS : 8,8), une vulnérabilité de contournement de sécurité dans Windows SmartScreen, qui pourrait être exploitée en incitant un utilisateur à cliquer sur un raccourci Internet spécialement conçu (.URL) ou sur un lien hypertexte pointant vers un fichier de raccourci Internet.
La lacune activement exploitée a été corrigée par Microsoft dans le cadre de ses mises à jour du Patch Tuesday de novembre 2023.
Le processus d’infection implique que l’acteur malveillant héberge des fichiers de raccourci Internet malveillants sur Discord ou des services cloud comme FileTransfer.io, les liens étant également masqués à l’aide de raccourcisseurs d’URL tels que URL courte.
L’exécution du fichier .URL piégé lui permet de se connecter à un serveur contrôlé par un acteur et d’exécuter un fichier du panneau de configuration (.CPL) d’une manière qui contourne Windows Defender SmartScreen en tirant parti de CVE-2023-36025.
« Lorsque le fichier .CPL malveillant est exécuté via le binaire du processus du Panneau de configuration Windows, il appelle à son tour rundll32.exe pour exécuter la DLL », ont indiqué les chercheurs. « Cette DLL malveillante agit comme un chargeur qui appelle ensuite Windows PowerShell pour télécharger et exécuter la prochaine étape de l’attaque, hébergée sur GitHub. »
La charge utile suivante est un chargeur PowerShell (« DATA3.txt ») qui fait office de rampe de lancement pour Donut, un chargeur de shellcode open source qui déchiffre et exécute Phemadrone Stealer.
Écrit en C#, Phemadrone Stealer est activement maintenu par ses développeurs sur GitHub et Télégrammefacilitant le vol d’informations sensibles à partir de systèmes compromis.
Cette évolution est une fois de plus le signe que les acteurs de la menace deviennent de plus en plus flexibles et adaptent rapidement leurs chaînes d’attaque pour tirer parti des exploits récemment révélés et infliger un maximum de dégâts.
« Malgré les correctifs, les acteurs malveillants continuent de trouver des moyens d’exploiter CVE-2023-36025 et d’échapper aux protections Windows Defender SmartScreen pour infecter les utilisateurs avec une pléthore de types de logiciels malveillants, notamment des ransomwares et des voleurs comme Phhemedrone Stealer », ont déclaré les chercheurs.