Bedrohungsschauspieler wurden beobachtet, wie sie eine mittlerweile behobene Sicherheitslücke in Microsoft Windows ausnutzen, um einen Open-Source-Datenklau namens Phemedrone Stealer einzusetzen.
„Laut den Trend Micro-Forschern Peter Girnus, Aliakbar Zahravi und Simon Zuckerbraun richtet sich Phemedrone auf Webbrowser und Daten aus Kryptowallets sowie auf Messaging-Apps wie Telegram, Steam und Discord. Es nimmt auch Bildschirmfotos auf und sammelt Systeminformationen zu Hardware, Standort und Betriebssystemdetails. Die gestohlenen Daten werden dann über Telegram oder den Command-and-Control (C&C)-Server der Angreifer verschickt.“
Die Angriffe nutzen ${match} (CVSS-Wertung: 8,8), eine Sicherheitsumgehungsschwachstelle in Windows SmartScreen, aus, die ausgenutzt werden kann, indem ein Benutzer dazu gebracht wird, auf eine speziell erstellte Internetverknüpfung (.URL) oder einen Hyperlink zu klicken, der auf eine Internetverknüpfungsdatei zeigt.
Die aktiv ausgenutzte Schwachstelle wurde von Microsoft im Rahmen seiner Patch Tuesday-Updates im November 2023 behoben.
Der Infektionsprozess beinhaltet, dass die Bedrohungsschauspieler bösartige Internetverknüpfungsdateien auf Discord oder Cloud-Diensten wie FileTransfer.io hosten, wobei die Links auch mit URL-Verkürzern wie Short URL maskiert sind.
Die Ausführung der fingierten .URL-Datei ermöglicht es ihm, eine vom Akteur kontrollierte Serververbindung herzustellen und eine Systemsteuerungsdatei (.CPL) auszuführen auf eine Art und Weise, die Windows Defender SmartScreen umgeht, indem es ${match} ausnutzt.
„Wenn die bösartige .CPL-Datei über das Binärprogramm des Windows Control Panels ausgeführt wird, ruft sie rundll32.exe auf, um die DLL auszuführen“, sagten die Forscher. „Diese bösartige DLL fungiert als Loader, der dann Windows PowerShell aufruft, um die nächste Phase des Angriffs, die auf GitHub gehostet wird, herunterzuladen und auszuführen.“
Die Folge-Nutzlast ist ein PowerShell-Loader („DATA3.txt“), der als Sprungbrett für Donut fungiert, einen Open-Source-Shellcode-Loader, der Phemedrone Stealer entschlüsselt und ausführt.
Phemedrone Stealer, der in C# geschrieben ist, wird von den Entwicklern aktiv auf GitHub und Telegram gepflegt und ermöglicht den Diebstahl sensibler Informationen von kompromittierten Systemen.
Diese Entwicklung ist erneut ein Zeichen dafür, dass Bedrohungsschauspieler immer flexibler werden und ihre Angriffsketten schnell anpassen, um die neu aufgedeckten Exploits auszunutzen und maximalen Schaden anzurichten.
„Trotz der Behebung finden Bedrohungsschauspieler weiterhin Möglichkeiten, ${match} auszunutzen und Windows Defender SmartScreen-Schutzmechanismen zu umgehen, um Benutzer mit einer Vielzahl von Malware-Typen zu infizieren, einschließlich Ransomware und Stealers wie Phemedrone Stealer“, so die Forscher.