Vulnerabilidad SmartScreen de Windows Defender explotada con Phemedrone Stealer

Iniciado por AXCESS, Enero 16, 2024, 08:01:31 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 16, 2024, 08:01:31 PM Ultima modificación: Enero 16, 2024, 08:10:49 PM por AXCESS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La vulnerabilidad fue parcheada el 14 de noviembre de 2023, pero la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) lo agregó a la lista de vulnerabilidades explotadas (KEV) conocidas debido a la evidencia de explotación en curso. Desde su descubrimiento, numerosas campañas de malware, incluida la carga útil de Phemedrone Stealer, lo han explotado en sus cadenas de ataque.

Los investigadores de ciberseguridad de Trend Micro han descubierto que una vulnerabilidad que afecta a Microsoft Windows Defender SmartScreen, rastreada como CVE-2023-36025 está siendo explotada para infectar a los usuarios con Phemedrone Stealer.

Windows Defender SmartScreen es una función de seguridad incorporada en Microsoft Windows 8 y posterior que ayuda a proteger a los usuarios de sitios web, descargas y aplicaciones maliciosas. Actúa como una primera línea de defensa contra una variedad de amenazas, incluidos sitios web de phishing, descargas maliciosas y aplicaciones no confiables.

Este malware de código abierto se dirige a navegadores web, billeteras de criptomonedas y aplicaciones de mensajería como Telegram, Steam y Discord. Sus capacidades adicionales permiten que el malware tome capturas de pantalla, recopile información del sistema, como detalles de hardware y datos de ubicación y envíe datos robados a los atacantes a través de Telegram o su servidor C2.

Phemedrone Stealer es mantenido y atendido desde Github y Telegram:

Descarga + Info:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Según se informa, los piratas informáticos usan las redes sociales para difundir archivos de URL que aparecen como atajos de enlace inofensivos, que se descargan y se ejecutan al hacer clic en ellos.

El proceso de infección comienza con un atacante que aloja archivos de acceso directo de malicioso en servicios en la nube como Discord o No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, disfrazado como URL al estilo de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Los atacantes elaboran un archivo de acceso directo (.URL) de Windows para evadir el mensaje de protección de pantalla inteligente al emplear un archivo .cpl como parte de un mecanismo de entrega de carga útil maliciosa.

El archivo.cpl se ejecuta a través del proceso de proceso del panel de control de Windows, llamando a rundll32.exe para ejecutar un DLL malicioso.

El malware, alojado en GitHub, descarga un archivo zip que contiene tres archivos: werfaultsecure.exe, wer.dll y secure.pdf. El archivo wer.dll es crucial para la funcionalidad del cargador. El atacante ejecuta el cargador utilizando DLL Sideloting, falsificando un archivo DLL malicioso en el directorio de la aplicación.

El archivo data3.txt enmascara su contenido, lo que dificulta descifrar su propósito.

El malware recopila información del sistema, la comprime en un archivo zip y envía los datos comprimidos al atacante a través de los métodos SendMessage y Sendzip.

A través de técnicas como el hashing de API y el cifrado de cadenas, el malware evade la detección y complica la ingeniería inversa.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

CVE-2023-36025, que tiene una puntuación CVSS de 8.8, afecta a Microsoft Windows Defender SmartScreen debido a su falta de corroboración en los archivos de acceso directo de Internet, lo que permite a los atacantes crear archivos.URL y ejecutar scripts maliciosos.

La vulnerabilidad fue parcheada el 14 de noviembre de 2023, pero la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) lo agregó a la lista de vulnerabilidades explotadas (KEV) conocidas debido a la evidencia de explotación en curso.

Desde su descubrimiento, numerosas campañas de malware, incluida la carga útil de Phemedrone Stealer, lo han explotado en sus cadenas de ataque.


Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario