据网络安全公司趋势科技报告,Windows SmartScreen 中的一个最新漏洞在导致 Phemedrone Stealer 感染的攻击中被积极利用。
这一安全漏洞被标识为 CVE-2023-36025(CVSS 评分为 8.8),于 2023 年 11 月 14 日被曝光。微软当时发布了相应的补丁,而美国网络安全机构 CISA 也将其列入已知被利用漏洞目录,证实了在野外攻击中存在相关证据。
根据微软的通报,黑客可以通过向用户发送精心设计的互联网快捷方式文件(URL)并说服收件人点击它来利用该问题。
这家科技巨头表示:“黑客将能够绕过 Windows Defender SmartScreen 检查及其相关提示。”
在漏洞公开披露后,我们观察到黑客展示了对该漏洞的利用,并发布了各种概念验证 (PoC) 漏洞,并且许多黑客已将此漏洞的利用纳入其攻击链中。
现在,趋势科技报告称,恶意活动正在积极利用 CVE-2023-36025 来传播 Phemedrone Stealer,这是一种以前未知的恶意软件类型,可以从受感染的系统中获取大量信息。
Phemedrone Stealer 采用 C# 编写,可作为开源软件使用,并在 GitHub 和 Telegram 上积极维护。
除了从网络浏览器、加密货币钱包和各种消息应用程序(包括 Telegram、Steam 和 Discord)窃取数据之外,该威胁还会截取屏幕截图并收集系统信息,包括硬件详细信息和位置数据。
然后,收集到的信息通过 Telegram 泄露或发送到攻击者的命令与控制 (C&C) 服务器。
作为观察到的攻击的一部分,利用 CVE-2023-36025 的恶意 URL 文件托管在 Discord 或其他云服务上。执行后,这些文件会下载并执行一个控制面板项 (.cpl) 文件,该文件调用 rundll32.exe 来执行恶意 DLL,充当下一阶段的加载程序,该阶段托管在 GitHub 上。
下一阶段是一个模糊加载器,它从同一 GitHub 存储库获取 ZIP 文件。该存档包含实现持久性和加载下一阶段所需的文件,进而加载 Phemedrone Stealer 有效负载。
趋势科技指出:“尽管已经打了补丁,但黑客仍在继续寻找利用 CVE-2023-36025 并逃避 Windows Defender SmartScreen 保护的方法,以多种恶意软件类型感染用户,包括勒索软件和 Phemedrone Stealer 等窃取程序。”
转自安全客,原文链接:https://www.anquanke.com/post/id/292678
暂无评论内容