Bilgisayar Korsanları, Kripto Sifonlayan Phemedrone Stealer'ı Dağıtmak için Windows Kusurunu Silahlandırıyor
Tehdit aktörlerinin, Phemedrone Stealer adlı açık kaynaklı bir bilgi hırsızını dağıtmak için Microsoft Windows'ta artık yamalanmış bir güvenlik açığından yararlandığı gözlemlendi.
Trend Micro araştırmacıları Peter Girnus, Aliakbar Zahravi ve Simon Zuckerbraun, "Phemedrone, Telegram, Steam ve Discord gibi kripto para cüzdanlarından ve mesajlaşma uygulamalarından gelen web tarayıcılarını ve verileri hedefliyor" dedi.
"Ayrıca ekran görüntüleri alıyor ve donanım, konum ve işletim sistemi ayrıntılarıyla ilgili sistem bilgilerini topluyor. Çalınan veriler daha sonra Telegram veya komuta ve kontrol (C&C) sunucuları aracılığıyla saldırganlara gönderiliyor."
Saldırılar, Windows SmartScreen'deki bir güvenlik atlama güvenlik açığı olan CVE-2023-36025'ten (CVSS puanı: 8.8) yararlanır ve bu, bir kullanıcıyı özel hazırlanmış bir İnternet Kısayoluna (. URL) veya bir Internet Kısayolu dosyasına işaret eden bir köprü.
Aktif olarak istismar edilen eksiklik, Microsoft tarafından Kasım 2023 Salı Yaması güncellemelerinin bir parçası olarak ele alındı.
Enfeksiyon süreci, tehdit aktörünün Discord'da veya FileTransfer.io gibi bulut hizmetlerinde kötü amaçlı İnternet Kısayol dosyalarını barındırmasını içerir ve bağlantılar ayrıca Kısa URL gibi URL kısaltıcılar kullanılarak maskelenir.
Bubi tuzaklı infazı . URL dosyası, aktör tarafından kontrol edilen bir sunucuya bağlanmasına ve CVE-2023-36025'ten yararlanarak Windows Defender SmartScreen'i atlatacak şekilde bir denetim masası (.CPL) dosyası yürütmesine olanak tanır.
.jpg)
Araştırmacılar, "Kötü amaçlı .CPL dosyası, Windows Denetim Masası işlem ikili dosyası aracılığıyla yürütüldüğünde, DLL'yi yürütmek için rundll32.exe çağırıyor" dedi. "Bu kötü amaçlı DLL, GitHub'da barındırılan saldırının bir sonraki aşamasını indirmek ve yürütmek için Windows PowerShell'i çağıran bir yükleyici görevi görür."
Takip eden yük, Phemedrone Stealer'ın şifresini çözen ve yürüten açık kaynaklı bir kabuk kodu yükleyicisi olan Donut için bir başlatma rampası görevi gören bir PowerShell yükleyicisidir ("DATA3.txt").
C# ile yazılmış Phemedrone Stealer, geliştiricileri tarafından GitHub ve Telegram'da aktif olarak korunur ve güvenliği ihlal edilmiş sistemlerden hassas bilgilerin çalınmasını kolaylaştırır.
Gelişme, bir kez daha tehdit aktörlerinin giderek daha esnek hale geldiğinin ve saldırı zincirlerini yeni açıklanan istismarlardan yararlanmak ve maksimum hasar vermek için hızla uyarladığının bir işaretidir.
Araştırmacılar, "Yamalanmış olmasına rağmen, tehdit aktörleri CVE-2023-36025'ten yararlanmanın ve kullanıcılara fidye yazılımı ve Phemedrone Stealer gibi hırsızlar da dahil olmak üzere çok sayıda kötü amaçlı yazılım türü bulaştırmak için Windows Defender SmartScreen korumalarından kaçınmanın yollarını bulmaya devam ediyor" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Cisco, Public PoC Exploit Release'den Sonra ISE Güvenlik Açığı Yamaları Düzeltti
CISA, 2019 ile 2024 yılları arasında yayımlanan 10 acil siber güvenlik direktifini emekliye kaldırdı
Çin Bağlantılı Hackerlar, VMware ESXi Zero-Days Uygulamasını Kullanarak Sanal Makinelerden Kaçtı
Cracked yazılımlar ve YouTube videoları CountLoader ve GachiLoader Zararlı Yazılımını Yaydı
Rusya Bağlantılı Hackerlar, Hesap Ele Geçirmeleri İçin Microsoft 365 Cihaz Kodu Oltalaması Kullanıyor
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor