Phemedrone Stealer-Detektion: Bedrohungsakteure nutzen CVE-2023-36025 Schwachstelle in Windows SmartScreen zur Malware-Verbreitung
Inhaltsverzeichnis:
Dieses Mal berichten Sicherheitsforscher von einer bösartigen Kampagne, die eine jetzt gepatchte Windows SmartScreen-Schwachstelle (CVE-2023-36025) ausnutzt, um die Phemedrone-Nutzlast abzulegen. Phemedrone ist ein Open-Source-Informationsstealer, der in der Lage ist, Daten aus Krypto-Wallets, Chat-Apps, beliebter Software und mehr zu extrahieren.
Erkennen von Phemedrom Stealer
Mit über 1 Milliarde Malware-Beispielen, die im Cyberbereich kursieren, benötigen Sicherheitsfachleute innovative Werkzeuge, um Cyberangriffe zu verhindern und proaktiv gegen neue Bedrohungen vorzugehen. Um bösartige Aktivitäten im Zusammenhang mit der neuesten Phemedron-Kampagne zu identifizieren, schauen Sie sich eine Regel unseres aufmerksamen Threat Bounty Entwicklers an Kagan Sukur.
Bestimmung des Persistenzmechanismus bei Phemedrone Stealer Aktivität (via process_creation)
Die obige Regel hilft, den auf dem System während der Verteilung erstellten Phemedrone Persistenzmechanismus zu erkennen. Die Erkennung ist kompatibel mit 27 SIEM-, EDR-, XDR- und Data Lake-Lösungen, ist der MITRE ATT&CK Framework v14 zugeordnet und mit umfangreicher Bedrohungsintelligenz, Angriffstimeline und zusätzlichen Metadaten angereichert.
Angesichts der Tatsache, dass Hacker eine Sicherheitsumgehungsschwachstelle in Windows SmartScreen ausnutzen, um Infektionen fortzusetzen, könnten Cyberverteidiger einen kuratierten Erkennungsstack erkunden, der auf die Erkennung von CVE-2023-36025-Exploits abzielt. Klicken Sie einfach auf die Erkennung erkunden Schaltfläche unten und gehen Sie zu den festgelegten Regeln.
Möchten Sie der kollektiven Cyber-Verteidigungsgemeinschaft beitreten? Sicherheitsexperten, die die Möglichkeit suchen, ihre Fähigkeiten zu verbessern und sich mit Kollegen zu vernetzen, sind herzlich eingeladen, Mitglieder des SOC Prime’s Threat Bounty Program.
Phemedrone Stealer Kampagnenanalyse
Eine jüngste Untersuchung von Trend Micro enthüllt die Einzelheiten der neuesten Phemedrone-Stealer-Kampagne, die auf CVE-2023-36025 für die Umgehung der Verteidigung und die Bereitstellung von Nutzlasten setzt.
Phemedrone stealer ist ein Open-Source-Malware-Beispiel, das aktiv von seinen Entwicklern über GitHub gepflegt und in Telegram beworben wird. Die Malware kann Daten aus Webbrowsern, Krypto-Konten, beliebten Messengern und Apps sammeln. Außerdem ist Phemedrone in der Lage, Screenshots zu machen und Systeminformationen zu sammeln, die dann weiter an die Gegner über Telegram oder C&C-Server gesendet werden.
In der laufenden Kampagne täuschen Bedrohungsakteure Benutzer dazu, bösartige Internetverknüpfungsdateien herunterzuladen, die die Infektionskette auslösen. Typischerweise verbreiten Angreifer solche .URL-Dateien über Discord oder Cloud-Dienste und verschleiern sie mit Hilfe von URL-Shortenern. Sobald der Benutzer eine präparierte Datei herunterlädt, führt sie eine Systemsteuerdatei aus, die Windows Defender SmartScreen mit dem Sicherheitsumgehungsfehler CVE-2023-36025 umgeht. Weiterhin lösen .CPL-Dateien die DLL-Ausführung aus, die einen PowerShell-Loader für Phemedrone ablegt.
Bemerkenswerterweise CVE-2023-36025 wurde von Microsoft bereits im November 2023 behoben. Dennoch finden Gegner weiterhin Wege, die Schwachstelle zu nutzen und sie in laufenden böswilligen Operationen zu verwenden.
Die ständig steigende Anzahl von Angriffen, die innovative bösartige Methoden nutzen, erfordert fortschrittliche Technologien, um bei den aktuellen Bedrohungen auf dem Laufenden zu bleiben. Sicherheitsexperten könnten Uncoder AI, die branchenweit erste IDE für Detection Engineering, nutzen, um schneller und intelligenter zu programmieren und Algorithmen sofort in 65 Technologie-Sprachformate zu übersetzen.
