Nuova Minaccia: Phemedrone Stealer Sfrutta Vulnerabilità Patchata di Windows Defender SmartScreen

Pubblicato il da

news hakingNuova Minaccia: Phemedrone Stealer Sfrutta Vulnerabilità Patchata di Windows Defender SmartScreen

I ricercatori di Trend Micro hanno identificato una nuova minaccia informatica denominata Phemedrone Stealer, un malware specializzato nella raccolta di dati.

Ciò che rende questa minaccia particolarmente preoccupante è il suo sfruttamento di una vulnerabilità di Windows Defender SmartScreen che è già stata patchata dalla Microsoft (nota come CVE-2023-36025), come riportato da Security Week.

Phemedrone Stealer si concentra su una vasta gamma di software popolari, tra cui browser, gestori di file e piattaforme di comunicazione. Il malware raccoglie non solo informazioni specifiche dei file, ma anche dettagli estesi del sistema, come geolocalizzazione (IP, paese, città e codice postale) su sistemi operativi Windows 10 e 11, acquisendo persino screenshot durante il processo.

Obiettivi del Malware

Il malware Phemedrone Stealer ha diversi obiettivi chiave, tra cui:

  1. Browser basati su Chromium: Il malware raccoglie dati sensibili, inclusi password, cookie e informazioni di autofill da app come LastPass, KeePass, NordPass, Google Authenticator e altri.
  2. Portafogli crittografici: Estrae file da varie applicazioni di portafogli di criptovaluta come Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum e altri.
  3. Discord: Estrae token di autenticazione dall’applicazione Discord, potenzialmente consentendo l’accesso non autorizzato agli account degli utenti.
  4. FileGrabber: Utilizza questo servizio per raccogliere file utente da cartelle designate, come Documenti e Desktop.
  5. FileZilla: Cattura dettagli e credenziali di connessione FTP da FileZilla.
  6. Gecko: Si rivolge ai browser basati su Gecko, con particolare attenzione a Firefox, per l’estrazione di dati utente.
  7. Informazioni di Sistema: Raccoglie dettagli approfonditi del sistema, inclusi specifiche hardware, geolocalizzazione e informazioni sul sistema operativo, acquisendo screenshot.
  8. Steam: Accede ai file relativi alla piattaforma di gioco Steam.
  9. Telegram: Estrae dati utente dalla directory di installazione di Telegram, concentrandosi su file correlati all’autenticazione.

Modalità di Attacco

Il malware utilizza file .url artigianali come vettore di attacco. Questi file scaricano ed eseguono script dannosi, eludendo il Windows Defender SmartScreen.

Questo significa che l’utente, ingannato ad aprire un file pericoloso, non riceverà l’avviso di SmartScreen che segnala il rischio.

Una volta elusa la rilevazione, il malware scarica il payload e stabilisce una presenza permanente nel sistema.

Successivamente, inizia la ricerca di file e informazioni specifici. I dati raccolti vengono inviati agli hacker tramite l’API di Telegram, una piattaforma di comunicazione IM popolare in alcuni paesi.

Protezione e Patching

La buona notizia è che Microsoft ha già risolto la vulnerabilità CVE-2023-36025 il 14 novembre. Per proteggersi da minacce simili, è essenziale mantenere l’igiene informatica necessaria e applicare regolarmente le ultime patch di sicurezza.

Questo garantisce una difesa efficace contro potenziali vulnerabilità, a differenza di molti exploit zero-day ancora in circolazione.

Fonte della notizia

Nuova Minaccia: Phemedrone Stealer Sfrutta Vulnerabilità Patchata di Windows Defender SmartScreenultima modifica: 2024-01-16T17:13:14+01:00da puma1973a
Reposta per primo quest’articolo