新型恶意软件 Phemedrone Stealer 可以绕过 Windows SmartScreen

微信扫一扫,分享到朋友圈

新型恶意软件 Phemedrone Stealer 可以绕过 Windows SmartScreen

据《安全周刊》报道,趋势科技的研究人员发现了一种新的未知的恶意软件,被称为 Phemedrone Stealer,它正在积极利用已经打了补丁的 Windows Defender SmartScreen 漏洞 CVE-2023-36025

Phemedrone Stealer 是一种数据收集恶意软件,主要针对各种特定类型的文件和信息,涉及多种流行软件产品--浏览器、文件管理器和通信平台等。

该恶意软件甚至会收集有关 Windows 10 或 11 的大量系统详细信息(包括 IP、国家、城市和邮政编码等地理位置数据),并在此过程中截图。趋势科技特别列出了以下目标

  • 基于 Chromium 的浏览器。恶意软件会获取数据,包括存储在 LastPass、KeePass、NordPass、Google Authenticator、Duo Mobile 和 Microsoft Authenticator 等应用程序中的密码、cookie 和自动填充信息。
  • 加密钱包。它可以从 Armory、Atomic、Bytecoin、Coninomi、Jaxx、Electrum、Exodus 和 Guarda 等各种加密货币钱包应用程序中提取文件。
  • Discord. Phemedrone 可从 Discord 应用程序中提取身份验证令牌,从而在未经授权的情况下访问用户账户。
  • FileGrabber. 恶意软件使用该服务从文档和桌面等指定文件夹中收集用户文件。
  • FileZilla。Phemedrone 从 FileZilla 获取 FTP 连接详情和凭证。
  • Gecko。恶意软件以基于 Gecko 的浏览器为目标,提取用户数据。(火狐是最流行的一种)。
  • 系统信息。Phemedrone 会收集大量系统详细信息,包括硬件规格、地理位置和操作系统信息,并截图。
  • 蒸汽。Phemedrone 会访问与 Steam 游戏平台相关的文件。
  • Telegram。恶意软件会从安装目录中提取用户数据,特别是针对 "tdata" 文件夹中与身份验证相关的文件。这包括根据文件大小和命名模式查找文件。

这种情况下的攻击载体是通过制作的 .url 文件下载和执行恶意脚本,并在此过程中绕过 Windows Defender SmartScreen。因此,被诱骗打开危险文件的用户不会看到 SmartScreen 关于此类文件可能对计算机造成危害的警告。

一旦恶意软件躲过了检测,它就会下载有效载荷并在系统中建立永久存在。

然后,它会搜索特定文件和信息。获取的数据通过 Telegram 的 API 发送给黑客,Telegram 是全球一些国家流行的即时通讯平台。首先发送的是系统信息,然后是一个压缩 ZIP 文件,其中包含所有收集到的数据。

好消息是,微软已于 11 月 14 日解决了 CVE-2023-36025 漏洞。因此,保持必要的 IT 卫生并定期应用最新的安全补丁应该可以保护您的安全--这与许多生活在野外、尚未被驯服的零日漏洞不同。

来源:Trend Micro via Security Week

上一篇

郭明錤称:苹果 Vision Pro 可能会在 2024 年 WWDC 大会之前向全球发布

下一篇

微软 Bing Image Creator 再次更名 Designer 图像创建器

你也可能喜欢

评论已经被关闭。

插入图片

公众号

公众号
关注我们

排行榜

返回顶部