Hacker Sfruttano Vulnerabilità di Windows per Diffondere il Ladro di Informazioni Phemedrone Stealer
Gli hacker stanno sfruttando una vulnerabilità di sicurezza ora corretta in Microsoft Windows per distribuire un ladro di informazioni open source chiamato Phemedrone Stealer.
“Phemedrone mira ai browser web e ai dati dei portafogli crittografici e delle app di messaggistica come Telegram, Steam e Discord”, hanno dichiarato i ricercatori di Trend Micro Peter Girnus, Aliakbar Zahravi e Simon Zuckerbraun.
“Prende anche screenshot e raccoglie informazioni di sistema riguardanti hardware, posizione e dettagli del sistema operativo. I dati rubati vengono quindi inviati agli attaccanti tramite Telegram o il loro server di comando e controllo (C&C).”
Gli attacchi sfruttano CVE-2023-36025 (CVSS score: 8.8), una vulnerabilità di bypass della sicurezza in Windows SmartScreen, che potrebbe essere sfruttata inducendo un utente a fare clic su un collegamento Internet Shortcut (.URL) o un collegamento ipertestuale che punta a un file Internet Shortcut.
Il processo di infezione coinvolge l’hacker che ospita file Internet Shortcut maligni su Discord o servizi cloud come FileTransfer.io, con i collegamenti mascherati anche tramite abbreviatori di URL come Short URL.
L’esecuzione del file .URL imboscato gli consente di connettersi a un server controllato dall’attore e di eseguire un file di pannello di controllo (.CPL) in modo da eludere Windows Defender SmartScreen sfruttando CVE-2023-36025.
“Quando il file .CPL maligno viene eseguito attraverso il processo binario del Pannello di controllo di Windows, chiama a sua volta rundll32.exe per eseguire la DLL”, hanno dichiarato i ricercatori. “Questa DLL maligna funge da caricatore che poi chiama Windows PowerShell per scaricare ed eseguire la successiva fase dell’attacco, ospitata su GitHub.”
Il payload successivo è un caricatore PowerShell (“DATA3.txt”) che funge da piattaforma di lancio per Donut, un caricatore di shellcode open source che decifra ed esegue Phemedrone Stealer.
Scritto in C#, Phemedrone Stealer è attivamente mantenuto dai suoi sviluppatori su GitHub e Telegram, facilitando il furto di informazioni sensibili dai sistemi compromessi.
Lo sviluppo è ancora una volta un segno che gli hacker stanno diventando sempre più flessibili e si adattano rapidamente alle catene di attacchi appena rivelate per infliggere danni massimi.
“Nonostante sia stato corretto, gli hacker continuano a trovare modi per sfruttare CVE-2023-36025 ed eludere le protezioni di Windows Defender SmartScreen per infettare gli utenti con una moltitudine di tipi di malware, tra cui ransomware e ladri come Phemedrone Stealer”, hanno dichiarato i ricercatori.