Detección del ladrón de Phemedrone: Actores de amenazas explotan la vulnerabilidad CVE-2023-36025 en Windows SmartScreen para desplegar malware
Tabla de contenidos:
Esta vez, los investigadores de seguridad informan sobre una campaña maliciosa que aprovecha una vulnerabilidad de Windows SmartScreen ahora parcheada (CVE-2023-36025) para desplegar la carga útil de Phemedrone. Phemedrone es un ladrón de información de código abierto capaz de extraer datos de billeteras criptográficas, aplicaciones de chat, software popular, y más.
Detectar Phemedron Stealer
Con más de 1 mil millones de muestras de malware circulando en el dominio cibernético, los profesionales de la seguridad requieren herramientas innovadoras para anticiparse a los ciberataques y defenderse proactivamente contra amenazas emergentes. Para identificar actividad maliciosa asociada con la última campaña de Phemedron, consulte una regla de nuestro agudo desarrollador de Threat Bounty Kagan Sukur.
La regla anterior ayuda a detectar el mecanismo de persistencia de Phemedrone creado en el sistema durante su distribución. La detección es compatible con 27 soluciones de SIEM, EDR, XDR y Data Lake, mapeadas al marco MITRE ATT&CK v14, y enriquecidas con amplia inteligencia de amenazas, cronologías de ataque y metadatos adicionales.
En vista de que los hackers están armando una vulnerabilidad de omisión de seguridad en Windows SmartScreen para proceder con las infecciones, los defensores cibernéticos podrían explorar un conjunto de detección curado destinado a la detección de explotaciones CVE-2023-36025. Simplemente pulse Explorar Detecciones el botón a continuación para profundizar en el conjunto de reglas.
¿Ansioso por unirte a la comunidad de defensa cibernética colectiva? Los profesionales de seguridad que buscan la oportunidad de mejorar su conjunto de habilidades mientras hacen networking con sus colegas son más que bienvenidos a convertirse en miembros del Programa de Recompensas por Amenazas de SOC Prime.
Análisis de la Campaña de Phemedrone Stealer
Investigación reciente de Trend Micro revela los detalles de la última campaña del ladrón Phemedrone que utiliza CVE-2023-36025 para la evasión de defensa y el despliegue de carga útil.
El ladrón Phemedrone es una muestra de malware de código abierto mantenida activamente por sus desarrolladores a través de GitHub y publicitada en Telegram. El malware puede volcar datos de navegadores web, cuentas criptográficas, mensajeros populares y aplicaciones. Además, Phemedrone es capaz de tomar capturas de pantalla y recopilar información del sistema que se envía a los adversarios a través de Telegram o un servidor C&C.
En la campaña en curso, los actores de amenazas engañan a los usuarios para que descarguen archivos de acceso directo de Internet maliciosos que desencadenan la cadena de infección. Típicamente, los atacantes diseminan tales archivos .URL a través de Discord o servicios en la nube disfrazándolos con la ayuda de acortadores de URL. Una vez que el usuario descarga un archivo trampa, ejecuta un archivo de panel de control eludiendo Windows Defender SmartScreen con el error de omisión de seguridad CVE-2023-36025. Luego, los archivos .CPL desencadenan la ejecución de DLL que despliega un cargador de PowerShell para Phemedrone.
Notablemente, CVE-2023-36025 fue abordado por Microsoft en noviembre de 2023. Sin embargo, los adversarios aún encuentran formas de armar la vulnerabilidad y aprovecharla en operaciones maliciosas en curso.
El número creciente de ataques que aprovechan métodos maliciosos innovadores requiere tecnologías avanzadas para mantenerse al tanto de las amenazas emergentes. Los profesionales de seguridad podrían aprovechar Uncoder AI, el primer IDE de la industria para la ingeniería de detección que les permite codificar más rápido e inteligentemente mientras traducen al instante algoritmos en 65 formatos de lenguaje tecnológico.
