Tehdit aktörlerinin, Microsoft Windows’ta yamalanmış bir güvenlik açığından yararlanarak, adı verilen açık kaynaklı bir bilgi hırsızını dağıttıkları gözlemlendi. Phemedrone Hırsızı.
Trend Micro araştırmacıları Peter Girnus, Aliakbar Zahravi ve Simon Zuckerbraun, “Phemedrone, web tarayıcılarını ve kripto para cüzdanlarından ve Telegram, Steam ve Discord gibi mesajlaşma uygulamalarından gelen verileri hedef alıyor” dedi.
“Ayrıca ekran görüntüleri alıyor ve donanım, konum ve işletim sistemi ayrıntılarıyla ilgili sistem bilgilerini topluyor. Çalınan veriler daha sonra Telegram veya onların komuta ve kontrol (C&C) sunucusu aracılığıyla saldırganlara gönderiliyor.”
Saldırılar, Windows SmartScreen’deki bir güvenlik atlama güvenlik açığı olan CVE-2023-36025’ten (CVSS puanı: 8,8) yararlanıyor; bu güvenlik açığı, kullanıcının özel hazırlanmış bir İnternet Kısayoluna (.URL) veya İnternet’e işaret eden bir köprüye tıklaması için kandırılarak kullanılabilir. Kısayol dosyası.
Aktif olarak yararlanılan eksiklik, Microsoft tarafından Kasım 2023 Salı Yaması güncellemelerinin bir parçası olarak giderildi.
Bulaşma süreci, tehdit aktörünün Discord’da veya FileTransfer.io gibi bulut hizmetlerinde kötü amaçlı İnternet Kısayolu dosyaları barındırmasını ve bağlantıların da Kısa URL gibi URL kısaltıcılar kullanılarak maskelenmesini içerir.
Bubi tuzaklı .URL dosyasının yürütülmesi, aktör tarafından kontrol edilen bir sunucuya bağlanmasına ve CVE-2023-36025’ten yararlanarak Windows Defender SmartScreen’i atlatacak şekilde bir kontrol paneli (.CPL) dosyası yürütmesine olanak tanır.
Araştırmacılar, “Kötü amaçlı .CPL dosyası Windows Denetim Masası işlem ikili programı aracılığıyla yürütüldüğünde, DLL’yi yürütmek için rundll32.exe’yi çağırıyor” dedi. “Bu kötü amaçlı DLL, daha sonra GitHub’da barındırılan saldırının bir sonraki aşamasını indirmek ve yürütmek için Windows PowerShell’i çağıran bir yükleyici görevi görüyor.”
Takip eden yük, Phemedrone Stealer’ın şifresini çözen ve çalıştıran açık kaynaklı bir kabuk kodu yükleyicisi olan Donut için başlatma paneli görevi gören bir PowerShell yükleyicisidir (“DATA3.txt”).
C# dilinde yazılan Phemedrone Stealer, geliştiricileri tarafından GitHub ve Telegram’da aktif olarak korunmakta ve hassas bilgilerin güvenliği ihlal edilmiş sistemlerden çalınması kolaylaştırılmaktadır.
Bu gelişme, bir kez daha, tehdit aktörlerinin giderek daha esnek hale geldiklerinin ve saldırı zincirlerini, yeni açıklanan açıklardan yararlanmak ve maksimum hasar verecek şekilde hızla adapte ettiklerini gösteren bir işaret.
Araştırmacılar, “Yamalanmış olmasına rağmen, tehdit aktörleri CVE-2023-36025’ten yararlanmanın ve Windows Defender SmartScreen korumalarından kaçmanın yollarını bulmaya devam ederek kullanıcılara fidye yazılımı ve Phemedrone Stealer gibi hırsızlar da dahil olmak üzere çok sayıda kötü amaçlı yazılım türü bulaştırıyor” dedi.