Microsoft’un Kasım 2023’te düzelttiği bir güvenlik açığı (CVE-2023-36025), kötü amaçlı yazılım satıcıları tarafından istismar edilmeye devam ediyor: Bu kez iletilen tehdit Phemedrone Stealer’ın bir çeşidi.
Kötü amaçlı yazılım hakkında
Phemedrone Stealer, C# ile yazılmış, hiçbir bağımlılığı olmayan bir kötü amaçlı yazılım parçasıdır. Şunları yapabilir:
- Sistem bilgilerini toplama (donanım, işletim sistemi, coğrafi konum) ve ekran görüntüleri oluşturma
- Hedeflenen cihazın belleğinde bulunan tüm verileri toplama
- Belirli klasörlerden kullanıcı dosyalarının alınması (örneğin, Belgeler, Masaüstü)
- Chromium tabanlı tarayıcılardan (Google Chrome, Microsoft Edge, Opera, Brave vb.) ve Gecko tabanlı tarayıcılardan (ör. Firefox) çerezleri, şifreleri ve otomatik doldurmaları alma
- Chromium tabanlı tarayıcılara yüklenen uzantılar aracılığıyla şifre ve kimlik doğrulama uygulamalarından hassas verileri ayıklama
- Discord kimlik doğrulama belirteçlerini ve Steam ve Telegram kimlik doğrulamasıyla ilgili dosyalarla ilgili dosyaları ele geçirmek
- Popüler kripto para cüzdanı uygulamalarından dosya çıkarma
- FileZilla (ücretsiz bir FTP çözümü) için bağlantı ayrıntılarını ve kimlik bilgilerini yakalama
Toplanan veriler Telegram API aracılığıyla sıkıştırılır ve dışarı çıkarılır.
CVE-2023-36025’ten yararlanıldı
CVE-2023-36025’ten yararlanmak, saldırganların Windows Defender SmartScreen kontrollerini ve ilgili istemleri atlamasına olanak tanır; bu, kurban kötü amaçlı bir dosyayı indirmesi ve açması için kandırıldığında, hizmetin dosyayı bulması (veya web sitesi) şüpheli ve potansiyel olarak kötü amaçlıdır.
Microsoft, Kasım 2023 Yaması Salı günü CVE-2023-36025 için düzeltmeler yayınladı ve o sırada bu güvenlik açığının halihazırda vahşi ortamda yapılan saldırılarda kullanıldığı konusunda uyardı.
Bir hafta sonra şirket, kavram kanıtlama istismarının kamuya açıklandığını doğruladı. (O zamandan beri başka PoC’ler ve demolar yayınlandı.)
Bu güvenlik açığı daha önce saldırganlar tarafından Remcos, DarkGate ve NetSupport uzaktan erişim truva atlarını yaymak için kötüye kullanılmıştı.
Bu son harekâttaki son kötü amaçlı yük Phemedrone Stealer’dır.
Trend Micro araştırmacıları, kurbanların kötü amaçlı İnternet Kısayolu dosyalarını indirmeleri için nasıl kandırıldığını söylemedi (.url) Discord’da veya FileTransfer.io gibi diğer bulut hizmetlerinde barındırılıyor, ancak bunu çalıştırdıklarında CVE-2023-36025’e yönelik bir açıktan yararlanmanın tetiklendiğini ve bir kontrol paneli öğesi (.cpl) dosyası gibi görünen bir DLL dosyasının indirildiğini biliyorlar. .
Phemedrone Stealer’ın enfeksiyon zinciri (Kaynak: Trend Micro)
“Kötü amaçlı .cpl dosyası Windows Denetim Masası işlem ikili programı aracılığıyla yürütüldüğünde, DLL dosyasını yürütmek için rundll32.exe dosyasını çağırır. Bu kötü amaçlı DLL, daha sonra GitHub’da barındırılan saldırının bir sonraki aşamasını indirmek ve yürütmek için Windows PowerShell’i çağıran bir yükleyici görevi görüyor” diye açıkladılar.
Phemedrone Stealer’ın kurulabilmesi için kalıcılık ve ikinci aşama savunmadan kaçınmayı sağlamak için bir dizi ek dosya ve komut dosyası indirilir.
Şimdi harekete geçin: Geç olabilir ama çok geç değil
Araştırmacılar, “Tehdit aktörleri, kullanıcılara çok sayıda kötü amaçlı yazılım türü bulaştırmak için CVE-2023-36025’ten yararlanmanın ve Windows Defender SmartScreen korumalarından kaçmanın yollarını bulmaya devam ediyor” dedi.
Henüz Microsoft Windows kurulumlarını CVE-2023-36025’i düzeltmek için güncellememiş kuruluşların bunu hızlı bir şekilde yapmaları tavsiye edilir.