Windows SmartScreen 绕过漏洞被利用部署恶意程序

据网络安全公司趋势科技报告,Windows SmartScreen 中的一个最新漏洞在导致 Phemedrone Stealer 感染的攻击中被积极利用。

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科Windows SmartScreen 绕过漏洞被利用部署恶意程序

这一安全漏洞被标识为 CVE-2023-36025(CVSS 评分为 8.8),于 2023 年 11 月 14 日被曝光。微软当时发布了相应的补丁,而美国网络安全机构 CISA 也将其列入已知被利用漏洞目录,证实了在野外攻击中存在相关证据。

根据微软的通报,黑客可以通过向用户发送精心设计的互联网快捷方式文件(URL)并说服收件人点击它来利用该问题。

这家科技巨头表示:“黑客将能够绕过 Windows Defender SmartScreen 检查及其相关提示。”

在漏洞公开披露后,我们观察到黑客展示了对该漏洞的利用,并发布了各种概念验证 (PoC) 漏洞,并且许多黑客已将此漏洞的利用纳入其攻击链中。

现在,趋势科技报告称,恶意活动正在积极利用 CVE-2023-36025 来传播 Phemedrone Stealer,这是一种以前未知的恶意软件类型,可以从受感染的系统中获取大量信息。

Phemedrone Stealer 采用 C# 编写,可作为开源软件使用,并在 GitHub 和 Telegram 上积极维护。

除了从网络浏览器、加密货币钱包和各种消息应用程序(包括 Telegram、Steam 和 Discord)窃取数据之外,该威胁还会截取屏幕截图并收集系统信息,包括硬件详细信息和位置数据。

然后,收集到的信息通过 Telegram 泄露或发送到攻击者的命令与控制 (C&C) 服务器。

作为观察到的攻击的一部分,利用 CVE-2023-36025 的恶意 URL 文件托管在 Discord 或其他云服务上。执行后,这些文件会下载并执行一个控制面板项 (.cpl) 文件,该文件调用 rundll32.exe 来执行恶意 DLL,充当下一阶段的加载程序,该阶段托管在 GitHub 上。

下一阶段是一个模糊加载器,它从同一 GitHub 存储库获取 ZIP 文件。该存档包含实现持久性和加载下一阶段所需的文件,进而加载 Phemedrone Stealer 有效负载。

趋势科技指出:“尽管已经打了补丁,但黑客仍在继续寻找利用 CVE-2023-36025 并逃避 Windows Defender SmartScreen 保护的方法,以多种恶意软件类型感染用户,包括勒索软件和 Phemedrone Stealer 等窃取程序。”


转自安全客,原文链接:https://www.anquanke.com/post/id/292678

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞9 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容