Détection du Voleur Phemedrone : Les Acteurs Malveillants Exploitent la Vulnérabilité CVE-2023-36025 dans Windows SmartScreen pour Déployer des Logiciels Malveillants
Table des matières :
Cette fois, les chercheurs en sécurité signalent une campagne malveillante exploitant une faille désormais corrigée de Windows SmartScreen (CVE-2023-36025) pour déposer la charge utile Phemedrone. Phemedrone est un voleur d’informations open-source capable de siphonner des données depuis des portefeuilles crypto, des applications de messagerie, des logiciels populaires, et plus encore.
Détecter le Stealer Phemedrom
Avec plus d’un milliard d’échantillons de logiciels malveillants circulant dans le domaine cyber, les professionnels de la sécurité nécessitent des outils innovants pour anticiper les cyberattaques et se défendre de manière proactive contre les menaces émergentes. Pour identifier l’activité malveillante associée à la dernière campagne Phemedron, consultez une règle par notre développeur Threat Bounty avisé Kagan Sukur.
La règle ci-dessus aide à détecter le mécanisme de persistance de Phemedrone créé sur le système lors de sa distribution. La détection est compatible avec 27 solutions SIEM, EDR, XDR, et Data Lake, mappée au cadre MITRE ATT&CK v14, et enrichie d’intelligence de menace approfondie, de chronologies d’attaques et de métadonnées supplémentaires.
Compte tenu des pirates utilisant une faille de contournement de sécurité dans Windows SmartScreen pour poursuivre les infections, les cyber-défenseurs pourraient explorer un ensemble de détections soigneusement sélectionné visant la détection des exploits CVE-2023-36025. Cliquez simplement sur Explorer les détections le bouton ci-dessous et explorez l’ensemble des règles.
Envie de rejoindre la communauté collective de défense cyber ? Les professionnels de la sécurité cherchant l’opportunité d’améliorer leurs compétences tout en réseautant avec leurs pairs sont plus que bienvenus pour devenir membres de le Programme Threat Bounty de SOC Prime.
Analyse de la Campagne Stealer Phemedrone
Une enquête récente par Trend Micro révèle les détails de la dernière campagne stealer Phemedrone s’appuyant sur CVE-2023-36025 pour l’évasion de détection et le déploiement de la charge utile.
Le stealer Phemedrone est un échantillon de malware open-source activement maintenu par ses développeurs via GitHub et annoncé sur Telegram. Le malware peut extraire des données depuis les navigateurs web, les comptes crypto, les messageries populaires et les applications. De plus, Phemedrone est capable de prendre des captures d’écran et de collecter des informations système qui sont ensuite envoyées aux adversaires via Telegram ou un serveur C&C.
Dans la campagne en cours, les acteurs de la menace trompent les utilisateurs en leur faisant télécharger des fichiers de raccourcis Internet malveillants qui déclenchent la chaîne d’infection. En général, les attaquants diffusent de tels fichiers .URL via Discord ou des services cloud en les masquant à l’aide de raccourcisseurs d’URL. Une fois le fichier piégé téléchargé par l’utilisateur, il exécute un fichier du panneau de contrôle contournant Windows Defender SmartScreen avec le bug de contournement de sécurité CVE-2023-36025. Ensuite, les fichiers .CPL déclenchent l’exécution de DLL qui dépose un chargeur PowerShell pour Phemedrone.
Notamment, CVE-2023-36025 a été corrigé par Microsoft en novembre 2023. Pourtant, les adversaires trouvent encore des moyens d’armer la faille et de l’utiliser dans des opérations malveillantes en cours.
Le nombre croissant d’attaques exploitant des méthodes malveillantes innovantes nécessite des technologies avancées pour rester à jour sur les menaces en vogue. Les professionnels de la sécurité pourraient exploiter Uncoder AI, le premier IDE de l’industrie pour l’ingénierie de détection, pour coder plus rapidement et plus intelligemment tout en traduisant instantanément des algorithmes en 65 formats de langage technologique.
