Rilevamento di Phemedrone Stealer: Gli Attori delle Minacce Sfruttano la Vulnerabilità CVE-2023-36025 in Windows SmartScreen per Distribuire Malware
Indice:
Questa volta i ricercatori di sicurezza segnalano una campagna dannosa che sfrutta una falla ora corretta di Windows SmartScreen (CVE-2023-36025) per rilasciare il payload di Phemedrone. Phemedrone è un infostealer open-source capace di sottrarre dati da portafogli crypto, app di messaggistica, software popolari e altro.
Rileva il Phemedrone Stealer
Con oltre 1 miliardo di campioni di malware in circolazione nel dominio cibernetico, i professionisti della sicurezza richiedono strumenti innovativi per prevenire attacchi informatici e difendersi proattivamente dalle minacce emergenti. Per identificare attività dannose associate all’ultima campagna di Phemedrone, consulta una regola del nostro abile sviluppatore di Threat Bounty Kagan Sukur.
La regola sopra aiuta a rilevare il meccanismo di persistenza di Phemedrone creato sul sistema durante la sua distribuzione. Il rilevamento è compatibile con 27 soluzioni SIEM, EDR, XDR e Data Lake, mappato al framework MITRE ATT&CK v14, arricchito con ampie informazioni sulle minacce, cronologie degli attacchi e metadati aggiuntivi.
In vista degli hacker che sfruttano una falla di sicurezza di bypass in Windows SmartScreen per proseguire con le infezioni, i difensori cibernetici potrebbero esplorare uno stack di rilevamento curato mirato alla rilevazione degli exploit CVE-2023-36025. Basta premere il pulsante Esplora i Rilevamenti qui sotto e approfondire il set di regole.
Desideroso di unirti alla comunità di difesa cyber collettiva? I professionisti della sicurezza che cercano l’opportunità di migliorare il loro bagaglio di competenze mentre si connettono con i colleghi sono più che benvenuti a diventare membri del Programma Threat Bounty di SOC Prime.
Analisi della Campagna del Phemedrone Stealer
Un’indagine recente di Trend Micro rivela i dettagli dell’ultima campagna di Phemedrone stealer che si affida a CVE-2023-36025 per l’elusione della difesa e la distribuzione del payload.
Il Phemedrone stealer è un campione di malware open-source attivamente mantenuto dai suoi sviluppatori tramite GitHub e pubblicizzato su Telegram. Il malware può estrarre dati da browser web, account crypto, messenger popolari e app. Inoltre, Phemedrone è in grado di catturare screenshot e raccogliere informazioni di sistema che vengono successivamente inviate agli avversari tramite Telegram o server C&C.
Nella campagna in corso, gli attori delle minacce ingannano gli utenti scaricando file di collegamento Internet dannosi che innescano la catena di infezione. Tipicamente, gli aggressori diffondono tali file .URL tramite Discord o servizi cloud mascherandoli con l’aiuto di accorciatori di URL. Una volta che l’utente scarica un file trappola, esegue un file del pannello di controllo aggirando Windows Defender SmartScreen con il bug di bypass della sicurezza CVE-2023-36025. Inoltre, i file .CPL attivano l’esecuzione di DLL che rilascia un loader PowerShell per Phemedrone.
Notabilmente, CVE-2023-36025 è stato risolto da Microsoft nel novembre 2023. Tuttavia, gli avversari continuano a trovare modi per sfruttare la falla e utilizzarla in operazioni dannose in corso.
Il numero sempre crescente di attacchi che sfruttano metodi dannosi innovativi richiede tecnologie avanzate per mantenersi al passo con le minacce emergenti. I professionisti della sicurezza potrebbero sfruttare Uncoder AI, il primo IDE del settore per l’ingegneria del rilevamento, per programmare in modo più rapido e intelligente mentre traducono istantaneamente gli algoritmi in 65 formati linguistici tecnologici.
