More

    Zloupotrijebljena greška u Windows SmartScreen-u za implementaciju Phemedrone Stealer-a

    Trend Micro je otkrio novu kampanju napada koja iskorištava sada zakrpljenu grešku zaobilaska sigurnosti (CVE-2023-36035) u Windows SmartScreen-u za širenje nove vrste Phemedrone Stealer-a. Malver cilja novčanike kriptovaluta i aplikacije za razmjenu poruka, uključujući Telegram, Steam i Discord. 

    Uronimo u detalje

    Infekcija Phemedrone Stealer-om počinje tako što napadač postavlja skup malicioznih datoteka s internetskim prečicama na platforme kao što je Discord ili usluge u oblaku kao što je FileTransfer.io.

    • Prevarivši korisnike da kliknu na zlonamjerne veze, napadači su omogućili preuzimanje control panel datoteke (.cpl), koja je potom pokrenula Phemedrone Stealer.
    • Malver cilja web pretraživače, novčanike za kriptovalute i aplikacije za razmjenu poruka kako bi ukrao osjetljive podatke i isporučuje se putem zlonamjernih datoteka s prečicama na internetu.
    • Ukradeni podaci se zatim šalju napadačima putem Telegrama ili njihovog C2 servera. Ovaj open-source kradljivac je napisan u C# i aktivno se održava na GitHubu i Telegramu.
    • Malver koristi višestepeni lanac infekcije s tehnikama izbjegavanja odbrane, kao što je bočno učitavanje DLL-a i dinamičko rješavanje API-ja, kako bi postigao postojanost i izvršio svoj teret.

    Zašto je ovo važno

    • Malver poput Phemedrone Stealer-a ilustruje dinamičnu i složenu prirodu sajber prijetnji, pokazujući agilnost sajber kriminalaca u usavršavanju svojih metoda ugrađivanjem novih eksploatacija kritičnih nedostataka u softveru koji se obično koristi. 
    • Ova situacija baca svjetlo na interakciju između malvera otvorenog koda i javno dostupnih eksploatacija dokaza o konceptu, što ukazuje na značajno preklapanje u vremenskom okviru od objavljivanja takvih dokaza do njihove asimilacije u strategije napada malvera.

    Zaključak

    Eksploatacija CVE-2023-36025 za implementaciju Phemedrone Stealer-a je oštar podsjetnik na tekuću bitku za sajber sigurnost. Da bi ublažili takve prijetnje, ključno je da korisnici i organizacije redovno ažuriraju svoj softver, edukuju zaposlene o sigurnim online praksama i usvoje sveobuhvatna sigurnosna rješenja.

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories