Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Opisi virusa, 16.01.2024, 11:00 AM

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025).

Phemedrone prikuplja podatke iz veb pregledača, novčanika za kriptovalute i softvera kao što su Discord, Steam i Telegram. Ovi podaci se zatim šalju napadačima da bi se koristili u drugim napadima ili da bi ih oni prodali drugim sajber kriminalcima.

Greška Microsoft Defendera koju koristi Phemedrone, CVE-2023-36025, ispravljena je u novembru 2023., kada je Microsoft rekao da je aktivno iskorišćena u napadima.

Da bi napad bio uspešan, korisnik bi morao da klikne na posebno napravljeni URL ili hiperlink koji upućuje na Internet Shortcut fajl.

Phemedrone nije jedini malver koji koristi ovu grešku. U drugim slučajevima, ista greška korišćena je za napade ransomwarea, navodi se u izveštaju kompanije Trend Micro.

Napadači hostuju zlonamerne URL fajlove na servisima u oblaku kao što su Discord i FireTransfer.io i često ih prikrivaju koristeći usluge skraćivanja linkova kao što je shorturl.at. Kada otvara URL fajlove preuzete sa interneta ili poslate putem emaila, Windows SmartScreen će prikazati upozorenje da bi otvaranje fajla moglo da naškodi računaru. Međutim, ako napadači prevare žrtvu da otvori njihov URL fajl, zahvaljujući CVE-2023-36095, grešci u Windows SmartScreenu, ovo upozorenje se ne prikazuje.

Kada se pokrene na kompromitovanom sistemu, Phemedrone počinje da krade podatke iz ciljanih aplikacija, koristeći Telegram za eksfiltraciju podataka. Aplikacije iz kojih Phemedrone krade podatke uključuju Chromium pregledače iz kojih krade lozinke, kolačiće i automatsko popunjavanje iz pregledača i bezbednosnih aplikacija kao što su LastPass, KeePass, Microsoft Authenticator i Google Authenticator. Malver krade podatke i iz različitih kripto novčanika, uključujući Atom, Armory, Electrum i Exodus, ali i informacije o sistemu, fajlove koji se odnose na Steam platformu i još mnogo toga.

Foto: Tadas Sar / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Google-ova obaveštajna grupa za pretnje (GTIG) identifikovala je novi malver pod nazivom LOSTKEYS, dizajniran za krađu fajlova i sistemskih podataka... Dalje

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje

Novi malver koji krade lozinke širi se preko YouTube-a

Novi malver koji krade lozinke širi se preko YouTube-a

Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje

Novi malver MassJacker krije se u piratskom softveru

Novi malver MassJacker krije se u piratskom softveru

Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje