Windows SmartScreen: sfruttato bug per diffondere info-stealer

Una campagna malware di Phmedrone per il furto di informazioni sfrutta una vulnerabilità di Windows SmartScreen (CVE-2023-36025) per ignorare le richieste di sicurezza di Windows quando si aprono file URL. Phemedrone è un nuovo malware open source che ruba informazioni e raccoglie dati archiviati in browser web, wallet di criptovaluta e software come Discord, Steam e Telegram. Questi dati vengono quindi rispediti agli aggressori per essere utilizzati in altre attività dannose o per essere venduti ad altri autori di minacce. Il difetto di Microsoft Defender è stato sfruttato nella campagna Phmedrone, CVE-2023-36025. In seguito è stato corretto con il Patch Tuesday di novembre , dove è stato contrassegnato come attivamente sfruttato negli attacchi. Come riportato sul blog di Microsoft: “l'utente dovrebbe cliccare su un collegamento Internet (.URL) appositamente predisposto o su un collegamento ipertestuale che punta a un file di collegamento Internet per essere compromesso dall'aggressore”.

Windows SmartScreen: come funziona l’attacco dell’info-stearler Phmedrone

I ricercatori di Trend Micro hanno riferito che, per diffondere Phmedrone, gli aggressori ospitano file URL dannosi su servizi cloud affidabili come Discord e FireTransfer.io. Questi vengono spesso nascosti utilizzando servizi di abbreviazione come shorturl.at. Di solito, quando si aprono file URL scaricati da internet o inviati tramite posta elettronica, Windows SmartScreen mostra un avviso indicante che l'apertura del file potrebbe danneggiare il computer. Tuttavia, il difetto CVE-2023-36095 di Windows SmartScreen evita che questo messaggio venga visualizzato. In questo modo il comando viene eseguito automaticamente. Il file URL scarica un file di elemento del pannello di controllo (.cpl) dal server di controllo dell'aggressore e lo esegue. Ciò avvierà un payload DLL dannoso tramite rundll32.exe.

Il DLL è un payload di PowerShell che recupera un file ZIP da un repository GitHub. Questo contenente il payload di seconda fase mascherato da file PDF (Secure.pdf), un file binario Windows legittimo (WerFaultSecure.exe) e "wer.dll", utilizzato nel caricamento laterale del DLL e per stabilire la persistenza. Una volta avviato sul sistema compromesso, Phemedrone inizializza la sua configurazione. Il payload decrittografa quindi gli elementi necessari e ruba i dati dalle applicazioni mirate e utilizza Telegram per l'esfiltrazione dei dati. Trend Micro segnala che Phmedrone prende di mira diverse app per rubare password, token di autenticazione, file, e dati vari. Tra i più colpiti vi sono i browser Chromium e Gecko, i wallet crittografici, ma anche Discord, FileGrabber, FileZilla, Steam e Telegram.