Detecção do Phemedrone Stealer: Atores de Ameaça Exploram Vulnerabilidade CVE-2023-36025 no Windows SmartScreen para Implantar Malware
Índice:
Desta vez, pesquisadores de segurança relatam uma campanha maliciosa aproveitando uma falha agora corrigida do Windows SmartScreen (CVE-2023-36025) para instalar a carga do Phemedrone. Phemedrone é um ladrão de informações de código aberto capaz de sifonar dados de carteiras de criptomoedas, aplicativos de bate-papo, softwares populares e mais.
Detectar Phemedrom Stealer
Com mais de 1 bilhão de amostras de malware circulando no domínio cibernético, os profissionais de segurança exigem ferramentas inovadoras para antecipar ataques cibernéticos e defender contra ameaças emergentes de maneira proativa. Para identificar atividade maliciosa associada à campanha Phemedron mais recente, confira uma regra do nosso atento desenvolvedor Threat Bounty Kagan Sukur.
A regra acima ajuda a detectar o mecanismo de persistência do Phemedrone criado no sistema durante sua distribuição. A detecção é compatível com 27 soluções SIEM, EDR, XDR e Data Lake, mapeada para o framework MITRE ATT&CK v14, e enriquecida com inteligência de ameaças, cronogramas de ataques e metadados adicionais extensos.
Diante de hackers armando uma falha de bypass de segurança no Widows SmartScreen para prosseguir com infecções, os defensores cibernéticos podem explorar uma pilha de detecção curada voltada para a detecção de explorações CVE-2023-36025. Basta clicar no Explorar Detecções botão abaixo e aprofundar-se no conjunto de regras.
Ansioso para se juntar à comunidade coletiva de defesa cibernética? Profissionais de segurança buscando a oportunidade de melhorar suas habilidades enquanto estabelecem conexões com colegas são mais do que bem-vindos para se tornarem membros do Programa de Recompensas por Ameaças da SOC Prime.
Análise da Campanha Phemedrone Stealer
Indagação recente pela Trend Micro revela os detalhes da mais recente campanha do ladrão Phemedrone confiando no CVE-2023-36025 para evasão de defesa e implantação de carga.
Phemedrone stealer é uma amostra de malware de código aberto ativamente mantida por seus desenvolvedores via GitHub e anunciada no Telegram. O malware pode despejar dados de navegadores da web, contas de criptomoedas, mensageiros populares e aplicativos. Além disso, o Phemedrone é capaz de capturar screenshots e coletar informações do sistema que são posteriormente enviadas para os adversários via Telegram ou servidor C&C.
Na campanha em andamento, os agentes de ameaça enganam usuários para baixar arquivos de Atalho da Internet maliciosos que desencadeiam a cadeia de infecção. Normalmente, os atacantes disseminam tais arquivos .URL via Discord ou serviços de nuvem disfarçando-os com a ajuda de encurtadores de URL. Uma vez que o usuário baixa um arquivo armadilhado, ele executa um arquivo de painel de controle contornando o Windows Defender SmartScreen com o bug de bypass de segurança CVE-2023-36025. Além disso, arquivos .CPL desencadeiam a execução de DLL que solta um carregador PowerShell para o Phemedrone.
Notavelmente, CVE-2023-36025 foi abordado pela Microsoft em novembro de 2023. No entanto, os adversários ainda encontram maneiras de armar a falha e aproveitá-la em operações maliciosas em andamento.
O número sempre crescente de ataques que utilizam métodos maliciosos inovadores requer tecnologias avançadas para se manter à frente das ameaças em tendência. Profissionais de segurança podem aproveitar o Uncoder AI, o primeiro IDE do setor para engenharia de detecção, para codificar de forma mais rápida e inteligente enquanto traduzem instantaneamente algoritmos para 65 formatos de linguagem tecnológica.
