25 ноября, 2024

hleb

Находите все последние статьи и смотрите телешоу, репортажи и подкасты, связанные с Россией.

Почему мы обновляем… Вредоносное ПО, кражущее данные, использует SmartScreen на непропатченных компьютерах с Windows • История

Почему мы обновляем… Вредоносное ПО, кражущее данные, использует SmartScreen на непропатченных компьютерах с Windows • История

Преступники используют уязвимость обхода SmartScreen Защитника Windows, чтобы заразить компьютеры Phemedrone Stealer, разновидностью вредоносного ПО, которое сканирует устройства на наличие конфиденциальной информации — паролей, файлов cookie, токенов аутентификации и т. д. — с целью перехвата и утечки.

Нарушения вредоносного ПО CVE-2023-36025, который Microsoft исправила в ноябре. В частности, эта уязвимость позволяет Femedrone и другим вредоносным программам обходить меры безопасности в Windows, которые должны помочь пользователям избежать запуска вредоносного кода. Когда Редмонд выпустил исправление, он предупредил, что злоумышленники уже нашли ошибку и активно ею воспользовались.

Вскоре после того, как Microsoft заткнула дыру, патч был реконструирован для создания Доказательство концепции Эксплойт. Теперь, когда все знают, как атаковать системы с помощью этой уязвимости, обновите свои устройства Windows, чтобы закрыть этот маршрут, если вы еще этого не сделали.

В опубликованной сегодня статье исследователи Trend Micro Питер Гирнос, Али Акбар Зорафи и Саймон Цукербраун подробно Фемедрон – похититель информациив том числе о том, как он работает, как он использует CVE-2023-36025 для заражения компьютера и как обнаружить его присутствие в сети.

Нам сообщили, что вредоносная программа нацелена на большое количество браузеров и приложений на компьютерах жертв, удаляя конфиденциальную информацию из интересующих файлов и отправляя данные мошенникам для использования. В число этих целей входят браузеры на базе Chromium, а также LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile и Microsoft Authenticator. Femedrone ищет такие вещи, как пароли, файлы cookie и информацию автозаполнения для фильтрации; Как только эти данные попадут в руки операторов вредоносных программ, они могут быть использованы для входа в онлайн-аккаунты жертв и нанесения разного рода ущерба и конфликтов.

READ  Windows 11 получает более простой способ увидеть все ваши сохраненные пароли Wi-Fi

Код также крадет файлы и другие пользовательские данные из нескольких криптовалютных кошельков и приложений для обмена сообщениями, включая Discord и Telegram, а также данные для входа в игровую платформу Steam.

Кроме того, он собирает ряд телеметрических данных, включая характеристики оборудования, данные геолокации и информацию об операционной системе, а также делает снимки экрана, которые отправляются злоумышленникам через Telegram или на удаленный сервер управления.

Злоумышленники заражают устройства жертв с помощью Phemedrone, обманным путем заставляя теги загрузить и открыть URL-файл. Например, вредоносное ПО с веб-сайта. Этот файл использует CVE-2023-36025 для обхода Windows SmartScreen при загрузке и открытии файла .cpl, который является элементом панели управления Windows. Пользователь не может быть предупрежден SmartScreen о том, что файл .url получен из ненадежного источника и что то, что он делает, опасно и должно быть заблокировано. Вместо этого в результате использованной уязвимости их компьютеры заражаются. Как сообщила команда Trend:

Похоже, что файл .cpl, полученный по URL-адресу, на самом деле является файлом .dll и начинает выполняться, когда элемент панели управления открывается на панели управления Windows. Этот файл .dll действует как загрузчик, который вызывает PowerShell для выполнения следующего этапа атаки, который извлекается из GitHub.

На этом этапе используется еще один загрузчик PowerShell под названием DATA3.txt, который загружает и открывает ZIP-файл, также размещенный на GitHub. В архиве три части:

  • WerFaultSecure.exe — законный двоичный файл отчетов об ошибках Windows.
  • Wer.dll — вредоносный двоичный файл, загружаемый при запуске WerFaultSecure.exe.
  • Secure.pdf, загрузчик второго этапа с кодировкой RC4, который в конечном итоге переносит двоичный файл Phemedrone Stealer на ПК для запуска.

На протяжении всего процесса вредоносная программа использует различные методы запутывания, чтобы скрыть свое содержимое и избежать обнаружения. При запуске Phemedrone Stealer расшифровывает данные, необходимые для доступа к API Telegram, и начинает красть информацию жертвы.

READ  10 передовых функций, которые можно ожидать от грядущей гарнитуры Apple AR / VR

Итак, еще раз: если вы не сделали этого в ноябре, пришло время обновить ваши установки Windows, иначе вы рискуете стать следующей жертвой этих похитителей данных. ®