翻译:Trend Micro的研究人员发现了一种利用漏洞CVE-2023-36025(CVSS评分8.8)的恶意软件攻击活动,以部署先前未知的恶意软件Phemedrone Stealer。这个漏洞已经在2023年11月的“补丁星期二”安全更新中得到了解决,它是一个Windows SmartScreen安全特性绕过问题。攻击者可以利用这个漏洞绕过Windows Defender SmartScreen检查和其他提示。这个漏洞可以被用于网络钓鱼活动,以逃避警告用户有关打开恶意文档的提示。在漏洞公开披露后,社交媒体上出现了多个演示和概念验证代码。
专家们注意到,越来越多的恶意软件攻击活动将此漏洞利用为攻击链的一部分。Phemedrone Stealer允许操作者从Web浏览器和加密货币钱包、Telegram、Steam和Discord等消息应用程序中窃取敏感数据。恶意软件支持多种功能,包括截屏和收集有关硬件、位置和操作系统详细信息的系统信息。窃取的数据通过Telegram或他们的C2服务器进行外泄。这种恶意软件是用C#编写的,作者在GitHub和Telegram上积极维护恶意代码。
Trend Micro的报告称:“一旦执行利用CVE-2023-36025漏洞的恶意.url文件,它将连接到攻击者控制的服务器以下载和执行控制面板项(.cpl)文件。Microsoft Windows Defender SmartScreen应该在从不受信任的来源执行.url文件之前向用户发出安全提示。”“然而,攻击者通过将.cpl文件作为恶意有效载荷传递机制的一部分,制作了一个Windows快捷方式(.url)文件来逃避SmartScreen保护提示。”
利用CVE-2023-36025的恶意URL文件引用了Discord或其他云服务。在执行这些文件时,将下载并执行一个控制面板项(.cpl)文件。然后,它调用rundll32.exe来执行一个作为下一阶段的恶意DLL的加载程序,该DLL在GitHub上托管了一个恶意脚本。
下一阶段是一个经过混淆的加载器,它从同一个GitHub仓库获取一个ZIP存档到使用Windows属性实用程序二进制文件(attrib.exe)创建的隐藏目录中。该存档包含加载下一阶段和维持持久性所需的文件。下一阶段加载Phemedrone Stealer的有效载荷。
尽管已经修复了漏洞,威胁行为者仍然寻找方法来利用CVE-2023-36025并逃避Windows Defender SmartScreen保护,以感染用户的各种恶意软件类型,包括勒索软件和像Phemedrone Stealer这样的窃取者。
报告总结道。“像Phemedrone Stealer这样的恶意软件变种突显了复杂恶意软件威胁的不断演变以及恶意行为者通过为日常软件添加新的关键漏洞利用来迅速增强其感染链的能力。”
原文始发于微信公众号(黑猫安全):PHEMEDRONE信息窃取者活动利用Windows SmartScreen绕过漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论