Trend Micro предава, че хакери, разпространяващи шпионския зловреден софтуер Phemedrone,

Trend Micro предава, че хакери, разпространяващи шпионския злотворен програмен продукт Phemedrone, са почнали да нападат рискова накърнимост в защитната характерност SmartScreen в Windows. Успешната употреба на въпросната накърнимост (CVE-2023-36025) разрешава превъзмогване на защитните механизми, които защищават потребителите на Windows да откриват зловредни URL връзки. CVE-2023-36025 е проблем, който Microsoft позволи с ноемврийския Patch Tuesday, като още тогава от компанията оповестиха, че уязвимостта се експлоатира интензивно. Phemedrone е злотворен програмен продукт, който краде персонална информация от криптопортфейли, браузърите и известни услуги, като Discord, Steam и Telegram.

През ноември Microsoft предизвести, че уязвимостта може да бъде експлоатирана посредством отварянето от страна на жертвата на особено квалифициран URL шорткът или хипервръзка, сочеща към шорткът файл. Макар от компанията да не дадоха повече детайлности за CVE-2023-36025 по това време, по-късно обаче за жалост в Интернет се появи PoC (proof-of-concept) код, който улесни основаването на работещи експлойти от хакери. Trend Micro допълват, че уязвимостта се експлоатира интензивно освен от разпространяващите Phemedrone, само че и от други киберпрестъпници, включително и рансъмуер банди.

В конретните офанзиви с Phemedrone, киберпрестъпниците обитават зловредните URL файлове на законни услуги, като Discord и FireTransfer.io и употребяват услуги за редуциране на адреси. В естествени обстановки, в случай че жертвата се опита да смъкна от Интернет или изпратен като приложение в имейл сходен файл, SmartScreen се задейства и предизвестява потребителя за опцията системата да попадне в риск, в случай че той бъде свален. В този случай обаче такова известие не се появява тъй като файлът експлоатира CVE-2023-36095. Атаката продължава със свалянето на динамична библиотека, започваща Powershell скрипт свалящ особено квалифициран списък, в който се съдържат файлове, които започват втората фаза на офанзивата. Phemedrone се зарежда в системата, декриптира нужните му файлове, краде информация по авансово заложени параметри и изпраща откраднатата информация към киберпрестъпниците. Списък с знаците на компрометиране, употребявани интернет адреси и хешсуми на зловредните файлове, регистрирани от Trend Micro, може да намерите тук.