Threats
A campanha de malware Phemedrone está a explorar uma falha do Microsoft Defender SmartScreen para fugir a mecanismos de segurança
16/01/2024
|
Uma vulnerabilidade do Microsoft Defender SmartScreen está a ser explorada pela campanha de malware info-stealer Phemedrone para ignorar os prompts de segurança do Windows ao abrir ficheiros URL. O Phemedrone é um novo malware info-stealer de código aberto que recolhe dados armazenados em navegadores da web, carteiras de criptomoedas e softwares como o Discord, Steam e Telegram. Posteriormente, os dados são enviados de volta aos invasores com vista a serem utilizados em novas atividades maliciosas ou vendidos a outros cibercriminosos. A falha do Microsoft Defender explorada na campanha Phemedrone – CVE-2023-36025 – foi corrigida durante o Patch Tuesday de novembro de 2023, onde foi assinalada como sendo explorada ativamente em ataques. “O utilizador teria que clicar num atalho de Internet (.URL) especialmente criado ou num hiperlink a apontar para um arquivo de atalho de Internet para ser comprometido pelo invasor”, explica o boletim de segurança da vulnerabilidade. Embora inicialmente não tenham sido partilhados muitos detalhes sobre a exploração da falha, as explorações de prova de conceito publicadas de seguida aumentaram o risco para sistemas Windows não corrigidos. De acordo com os investigadores da Trend Micro, a campanha Phemedrone não é a única família de malware que observaram a visar uma falha específica no Windows, existindo outros casos que envolvem ransomware. Os cibercriminosos hospedam arquivos URL maliciosos em serviços de cloud confiáveis, como o Discord e o FireTransfer.io, muitas vezes disfarçando-os através de serviços de encurtamento, como o shorturl.at. Ao abrir ficheiros URL que foram downloaded da Internet ou enviados por email, o Windows SmartScreen geralmente alerta que a abertura do ficheiro pode danificar o computador. No entanto, quando os indivíduos visados são enganados e levados a abrir um dos ficheiros URL maliciosos, a falha CVE-2023-36095 é explorada no Windows SmartScreen para que este prompt não seja mostrado e o comando seja executado automaticamente. O ficheiro URL faz download de um ficheiro de item do painel de controle (.cpl) do servidor de controlo do cibercriminoso e executa-o, iniciando uma carga útil de DLL maliciosa através de rundll32.exe. Após iniciado no sistema comprometido, o Phemedrone inicializa a sua configuração, descriptografa os itens necessários e obtém dados das aplicações visadas, utilizando o Telegram para a exfiltração de dados. Segundo a Trend Micro, os alvos do Phemedrone incluem os navegadores Chromium e Gecko, Discord, FileGrabber, FileZilla, Steam e Telegram, bem como carteiras criptográficas e informações do sistema. |
Receba todas as novidades na sua caixa de correio!
THREATS
Microsoft corrige falhas de segurança críticas em RCE e zero day
ANALYSIS
Operação da Sophos descobre vasto ecossistema de adversários na China
THREATS
HPE corrige vulnerabilidades críticas em access points Aruba
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
NEWS
EUA lançam framework para utilização de IA em infraestruturas críticas
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
THREATS
Falha crítica em plugin do WordPress expôs mais de quatro milhões de sites
THREATS
Citrix corrige vulnerabilidades críticas no Session Recording Manager
THREATS
Vulnerabilidade não corrigida em NAS está a ser explorada
THREATS
Cibercriminosos chineses invadem telecomunicações dos EUA para espiar altos funcionários
