Windowsom sa šíri malvér Phemedrone Stealer: Využíva slabinu v starších verziách systému
Bezpečnostní experti si všimli novú hackerskú kampaň, ktorá šíri modifikovaný malvér Phemedrone Stealer.
Bezpečnostní experti z Trend Micro odhalili počas rutinnej práce doteraz neznámy typ malvéru, ktorý sa nazýva Phemedrone Stealer. Tento typ malvéru aktívne zneužíva bezpečnostnú slabinu CVE-2023-36025.
Experti vysvetľujú, že malvér Phemedrone sa zameriava na webové prehliadače a dáta z kryptopeňaženiek a populárnych četovacích platforiem, ako napríklad Telegram, Steam a Discord. Malvéru sa zároveň darí zachytávať snímky obrazovky a rôzne údaje o hardvéri, polohe a operačnom systéme zariadenia. Dáta následne posiela útočníkom cez Telegram alebo ich command-and-control server. Malvér sa šíri ako open-source kód v programovacom jazyku C# na platformách GitHub a Telegram.
Slabina CVE-2023-36025 ovplyvňuje funkciu Microsoft Windows Defender SmarScreen. Ako experti vysvetľujú, slabina vychádza z toho, že táto funkcia nekontroluje súbory typu .url. Kyberzločinci môžu túto slabinu zneužiť tak, že vytvoria .url súbory, ktoré stiahnu a spustia škodlivé skripty a v podstate obchádzajú systém Windows Defender SmartScreen.
Spoločnosť opravila túto slabinu ešte v novembri minulého roka, no bezpečnostní experti zistili, že sa využíva aj naďalej. Objavili totiž niekoľko konceptov škodlivých kódov, ktoré sa šírili sociálnymi sieťami a bližšie vysvetľovali ako môžu túto slabinu zneužiť. Kyberzločinci používajú modifikovanú verziu Phemedrone stealera, ktorú zapájajú do svojich útokov.
Malvér sa šíri ďalej aj napriek oprave slabiny
Kyberzločinci útok začínajú tak, že nahrajú niekoľko infikovaných súborov na platformy ako Discord alebo FileTransfer.io. Tieto súbory sú častokrát zamaskované pomocou softvérov na skrátenie URL adries. Následne sa obeť dostáva k tomuto infikovanému súboru buď omylom, alebo ju útočník presvedčí, aby si škodlivý súbor stiahla.
Neprehliadnite
Keď obeť spustí infikovaný .url súbor, ten sa pripája na útočníkom kontrolovaný server. Z tade sťahuje škodlivé skripty. Windows SmartScreen by mal užívateľa varovať vždy, keď sa chystá otvoriť súbor z neznámeho zdroja. V tomto prípade sa žiadne varovanie neobjaví.
Infikovaný .url súbor stiahne do zariadenia súbor typu .cpl a následne ho spustí. Po spustení sa aktivuje stiahnutý škodlivý DLL súbor a ten slúži ako loader, ktorý príkazovému riadku PowerShell prikáže stiahnuť ďalšiu časť malvéru, ktorá sa nachádza na platforme GitHub.
Ako sme už spomenuli, malvér Phemedrone Stealer dokáže získať prístup k vašim kryptopeňaženkám, webovému prehliadaču a četovacím platformám ako Steam, Telegram a Discord. Zároveň sa útočníkovi posielajú citlivé informácie o vašom zariadení vrátane polohy. Bezpečnostní experti poukazujú na to, že slabina CVE-2023-36025 sa využíva naďalej aj napriek tomu, že ju Microsoft opravil ešte koncom minulého roka.
Najlepšou ochranou pred týmto malvérom je nesťahovať žiadne súbory, ak nemáte úplnú istotu, že je daný súbor bezpečný. Neverte ani súborom, ktoré niekto pridá do vašich obľúbených kanálov na sociálnych sieťach. Zároveň aktualizujte svoje operačné systémy hneď, ako to bude možné.
Komentáre