Trend Micro je otkrio novu kampanju napada koja iskorištava sada zakrpljenu grešku zaobilaska sigurnosti (CVE-2023-36035) u Windows SmartScreen-u za širenje nove vrste Phemedrone Stealer-a. Malver cilja novčanike kriptovaluta i aplikacije za razmjenu poruka, uključujući Telegram, Steam i Discord.
Uronimo u detalje
Infekcija Phemedrone Stealer-om počinje tako što napadač postavlja skup malicioznih datoteka s internetskim prečicama na platforme kao što je Discord ili usluge u oblaku kao što je FileTransfer.io.
- Prevarivši korisnike da kliknu na zlonamjerne veze, napadači su omogućili preuzimanje control panel datoteke (.cpl), koja je potom pokrenula Phemedrone Stealer.
- Malver cilja web pretraživače, novčanike za kriptovalute i aplikacije za razmjenu poruka kako bi ukrao osjetljive podatke i isporučuje se putem zlonamjernih datoteka s prečicama na internetu.
- Ukradeni podaci se zatim šalju napadačima putem Telegrama ili njihovog C2 servera. Ovaj open-source kradljivac je napisan u C# i aktivno se održava na GitHubu i Telegramu.
- Malver koristi višestepeni lanac infekcije s tehnikama izbjegavanja odbrane, kao što je bočno učitavanje DLL-a i dinamičko rješavanje API-ja, kako bi postigao postojanost i izvršio svoj teret.
Zašto je ovo važno
- Malver poput Phemedrone Stealer-a ilustruje dinamičnu i složenu prirodu sajber prijetnji, pokazujući agilnost sajber kriminalaca u usavršavanju svojih metoda ugrađivanjem novih eksploatacija kritičnih nedostataka u softveru koji se obično koristi.
- Ova situacija baca svjetlo na interakciju između malvera otvorenog koda i javno dostupnih eksploatacija dokaza o konceptu, što ukazuje na značajno preklapanje u vremenskom okviru od objavljivanja takvih dokaza do njihove asimilacije u strategije napada malvera.
Zaključak
Eksploatacija CVE-2023-36025 za implementaciju Phemedrone Stealer-a je oštar podsjetnik na tekuću bitku za sajber sigurnost. Da bi ublažili takve prijetnje, ključno je da korisnici i organizacije redovno ažuriraju svoj softver, edukuju zaposlene o sigurnim online praksama i usvoje sveobuhvatna sigurnosna rješenja.
Izvor: The Hacker News