Er is waargenomen dat bedreigingsactoren gebruik maken van een inmiddels gepatchte beveiligingsfout in Microsoft Windows om een open-source informatiedief in te zetten, genaamd Phemedrone-stealer.
“Phemedrone richt zich op webbrowsers en gegevens van cryptocurrency-portefeuilles en berichtenapps zoals Telegram, Steam en Discord”, aldus Trend Micro-onderzoekers Peter Girnus, Aliakbar Zahravi en Simon Zuckerbraun.
“Het maakt ook screenshots en verzamelt systeeminformatie over hardware, locatie en details van het besturingssysteem. De gestolen gegevens worden vervolgens via Telegram of hun command-and-control (C&C) server naar de aanvallers gestuurd.”
De aanvallen maken gebruik van CVE-2023-36025 (CVSS-score: 8,8), een beveiligingslek in Windows SmartScreen dat kan worden misbruikt door een gebruiker te misleiden om op een speciaal vervaardigde internetsnelkoppeling (.URL) te klikken of op een hyperlink die naar een internetadres verwijst. Snelkoppelingsbestand.
De actief uitgebuit tekortkoming werd door Microsoft aangepakt als onderdeel van de Patch Tuesday-updates van november 2023.
Bij het infectieproces is de bedreigingsacteur betrokken bij het hosten van kwaadaardige internetsnelkoppelingsbestanden op Discord of cloudservices zoals FileTransfer.io, waarbij de links ook worden gemaskeerd met behulp van URL-verkorters zoals Short URL.
Door de uitvoering van het .URL-bestand met een valstrik kan het verbinding maken met een door een acteur bestuurde server en een configuratieschermbestand (.CPL) uitvoeren op een manier die Windows Defender SmartScreen omzeilt door gebruik te maken van CVE-2023-36025.
“Wanneer het kwaadaardige .CPL-bestand wordt uitgevoerd via het binaire proces van het Windows Configuratiescherm, roept het op zijn beurt rundll32.exe aan om de DLL uit te voeren”, aldus de onderzoekers. “Deze kwaadaardige DLL fungeert als een lader die vervolgens Windows PowerShell aanroept om de volgende fase van de aanval te downloaden en uit te voeren, gehost op GitHub.”
De daaropvolgende payload is een PowerShell-lader (“DATA3.txt”) die fungeert als startpunt voor Donut, een open-source shellcode-lader die Phemedrone Stealer decodeert en uitvoert.
Phemedrone Stealer, geschreven in C#, wordt actief onderhouden door de ontwikkelaars op GitHub en Telegram, waardoor de diefstal van gevoelige informatie van gecompromitteerde systemen wordt vergemakkelijkt.
De ontwikkeling is opnieuw een teken dat dreigingsactoren steeds flexibeler worden en hun aanvalsketens snel aanpassen om te profiteren van nieuw onthulde exploits en maximale schade aan te richten.
“Ondanks dat ze zijn gepatcht, blijven bedreigingsactoren manieren vinden om CVE-2023-36025 te exploiteren en Windows Defender SmartScreen-beveiligingen te omzeilen om gebruikers te infecteren met een overvloed aan soorten malware, waaronder ransomware en stealers zoals Phemedrone Stealer”, aldus de onderzoekers.
