Eine aktuelle Malware-Kampagne mit der Informationsdiebstahl-Software Phemedrone nutzt eine Schwachstelle im Microsoft Defender SmartScreen (CVE-2023-36025), um Windows-Sicherheitswarnungen bei der Öffnung von URL-Dateien zu umgehen.

Phemedrone, eine neue Open-Source-Info-Stealer-Malware, sammelt Daten aus Webbrowsern, Kryptowährungsgeldbörsen und Anwendungen wie Discord, Steam und Telegram. Diese Daten werden dann an die Angreifer zurückgesendet, um in anderen bösartigen Aktivitäten verwendet oder an andere Bedrohungsakteure verkauft zu werden.

Die in der Phemedrone-Kampagne ausgenutzte Schwachstelle im Microsoft Defender ist CVE-2023-36025, die während des Patch Tuesdays im November 2023 behoben wurde, wo sie als aktiv in Angriffen ausgenutzt markiert wurde.

Laut dem Sicherheitsbulletin zu CVE-2023-36025 müsste der Nutzer auf eine speziell gestaltete Internet-Verknüpfung (.URL) oder einen Hyperlink klicken, der auf eine solche Datei verweist, um vom Angreifer kompromittiert zu werden.

Zu den Details der Ausnutzung von CVE-2023-36025 in freier Wildbahn wurden anfangs nicht viele Informationen geteilt, aber kurz darauf veröffentlichte Proof-of-Concept-Exploits erhöhten das Risiko für ungepatchte Windows-Systeme.

Trend Micros Forscher

berichten, dass die Phemedrone-Kampagne nicht die einzige Malware-Familie ist, die sie gesehen haben, die sich auf die spezielle Schwachstelle in Windows konzentriert, wobei auch andere Fälle Ransomware beinhalten.

Umgehung von SmartScreen Die Angreifer hosten bösartige URL-Dateien auf vertrauenswürdigen Cloud-Diensten wie Discord und FireTransfer.io und tarnen sie häufig mit URL-Verkürzungsdiensten wie shorturl.at.

Normalerweise zeigt Windows SmartScreen eine Warnung an, wenn URL-Dateien, die aus dem Internet heruntergeladen oder per E-Mail gesendet wurden, geöffnet werden, dass das Öffnen der Datei den Computer beschädigen könnte.

Wenn das Opfer jedoch dazu verleitet wird, eine der bösartigen URL-Dateien zu öffnen, wird die CVE-2023-36095-Schwachstelle in Windows SmartScreen ausgenutzt, sodass dieser Hinweis nicht angezeigt wird und der Befehl automatisch ausgeführt wird.

Die URL-Datei lädt eine Steuerelementdatei (.cpl) vom Server des Angreifers herunter und führt sie aus, wodurch eine bösartige DLL über rundll32.exe gestartet wird.

Die DLL ist ein PowerShell-Loader, der eine ZIP-Datei von einem GitHub-Repository abruft, die den zweiten Stage-Loader als PDF-Datei (Secure.pdf), eine legitime Windows-Binärdatei (WerFaultSecure.exe) und ‚wer.dll‘ für das DLL Side-Loading und die Etablierung von Persistenz enthält.

Sobald auf dem kompromittierten System gestartet, initialisiert Phemedrone seine Konfiguration, entschlüsselt notwendige Elemente und stiehlt Daten aus gezielten Anwendungen, wobei Telegram für die Datenexfiltration verwendet wird.

Trend Micro berichtet, dass Phemedrone die folgenden Apps/Daten ins Vis

ier nimmt:

  • Chromium-Browser: Erntet Passwörter, Cookies und Autofill-Informationen aus Browsern und Sicherheitsanwendungen wie LastPass, KeePass, Microsoft Authenticator und Google Authenticator.
  • Gecko-Browser: Extrahiert Nutzerdaten aus Gecko-basierten Browsern wie Firefox.
  • Krypto-Wallets: Extrahiert Daten aus verschiedenen Krypto-Wallet-Apps, einschließlich Atom, Armory, Electrum und Exodus.
  • Discord: Erhält unbefugten Zugriff durch Extrahieren von Authentifizierungstoken.
  • FileGrabber: Sammelt Nutzerdateien aus Ordnern wie Dokumente und Desktop.
  • FileZilla: Erfasst FTP-Details und Anmeldeinformationen.
  • Systeminformationen: Sammelt Hardware-Spezifikationen, Geolokalisierungsdaten, Betriebssystemdetails und Screenshots.
  • Steam: Greift auf Dateien im Zusammenhang mit der Plattform zu.
  • Telegram: Extrahiert Nutzerdaten, wobei der Fokus auf Authentifizierungsdateien im Ordner „tdata“ liegt.

Die Phemedrone-Kampagne stellt eine signifikante Bedrohung dar, da sie verschiedene Anwendungen und Plattformen ins Visier nimmt und umfangreiche persönliche und finanzielle Informationen sammeln kann. Benutzer und Organisationen sollten erhöhte Vorsicht walten lassen und sicherstellen, dass ihre Systeme und Anwendungen auf dem neuesten Stand gehalten werden, um sich gegen solche fortschrittlichen Bedrohungen zu schützen.