Một nhóm hacker đã được phát hiện tận dụng một lỗ hổng bảo mật hiện đã được vá trong Microsoft Windows để triển khai một trình đánh cắp thông tin nguồn mở có tên Phemedrone Stealer.
"Phemedrone nhắm mục tiêu vào các trình duyệt web và dữ liệu từ ví tiền điện tử và các ứng dụng nhắn tin như Telegram, Steam và Discord", các nhà nghiên cứu Peter Girnus, Aliakbar Zahravi và Simon Zuckerbraun của Trend Micro cho biết.
"Nó cũng chụp ảnh màn hình và thu thập thông tin hệ thống liên quan đến phần cứng, vị trí và chi tiết hệ điều hành. Dữ liệu bị đánh cắp sau đó được gửi đến những kẻ tấn công thông qua Telegram hoặc máy chủ chỉ huy và kiểm soát (C &C) của chúng.
Các cuộc tấn công tận dụng CVE-2023-36025 (điểm CVSS: 8.8), một lỗ hổng bỏ qua bảo mật trong Windows SmartScreen, có thể bị khai thác bằng cách lừa người dùng nhấp vào Phím tắt Internet được tạo đặc biệt (. URL) hoặc siêu kết nối trỏ đến tệp Lối tắt Internet.
Thiếu sót được khai thác tích cực đã được Microsoft giải quyết như một phần của bản cập nhật Patch Tuesday tháng 11/2023.
Quá trình lây nhiễm liên quan đến tác nhân đe dọa lưu trữ các tệp Phím tắt Internet độc hại trên Discord hoặc các dịch vụ đám mây như FileTransfer.io, với các liên kết cũng được che giấu bằng cách sử dụng các công cụ rút ngắn URL như URL ngắn.
Việc thực hiện booby-trapped . Tệp URL cho phép nó kết nối với máy chủ do tác nhân điều khiển và thực thi tệp bảng điều khiển (.CPL) theo cách phá vỡ SmartScreen của Bộ bảo vệ Windows bằng cách tận dụng CVE-2023-36025.
"Khi tệp .CPL độc hại được thực thi thông qua tệp nhị phân quy trình Windows Control Panel, nó sẽ gọi rundll32.exe để thực thi DLL", các nhà nghiên cứu cho biết. "DLL độc hại này hoạt động như một trình tải sau đó kêu gọi Windows PowerShell tải xuống và thực hiện giai đoạn tiếp theo của cuộc tấn công, được lưu trữ trên GitHub."
Tải trọng tiếp theo là bộ tải PowerShell ("DATA3.txt") hoạt động như một bệ phóng cho Donut, một trình tải shellcode mã nguồn mở giải mã và thực thi Phemedrone Stealer.
Được viết bằng C #, Phemedrone Stealer được duy trì tích cực bởi các nhà phát triển trên GitHub và Telegram, tạo điều kiện cho việc đánh cắp thông tin nhạy cảm từ các hệ thống bị xâm nhập.
Sự phát triển này một lần nữa là dấu hiệu cho thấy các tác nhân đe dọa đang ngày càng linh hoạt và nhanh chóng điều chỉnh chuỗi tấn công của họ để tận dụng các khai thác mới được tiết lộ và gây sát thương tối đa.
Các nhà nghiên cứu cho biết: "Mặc dù đã được vá, các tác nhân đe dọa vẫn tiếp tục tìm cách khai thác CVE-2023-36025 và trốn tránh các biện pháp bảo vệ SmartScreen của Windows Defender để lây nhiễm cho người dùng rất nhiều loại phần mềm độc hại, bao gồm ransomware và kẻ đánh cắp như Phemedrone Stealer".