Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Opisi virusa, 16.01.2024, 11:00 AM

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025).

Phemedrone prikuplja podatke iz veb pregledača, novčanika za kriptovalute i softvera kao što su Discord, Steam i Telegram. Ovi podaci se zatim šalju napadačima da bi se koristili u drugim napadima ili da bi ih oni prodali drugim sajber kriminalcima.

Greška Microsoft Defendera koju koristi Phemedrone, CVE-2023-36025, ispravljena je u novembru 2023., kada je Microsoft rekao da je aktivno iskorišćena u napadima.

Da bi napad bio uspešan, korisnik bi morao da klikne na posebno napravljeni URL ili hiperlink koji upućuje na Internet Shortcut fajl.

Phemedrone nije jedini malver koji koristi ovu grešku. U drugim slučajevima, ista greška korišćena je za napade ransomwarea, navodi se u izveštaju kompanije Trend Micro.

Napadači hostuju zlonamerne URL fajlove na servisima u oblaku kao što su Discord i FireTransfer.io i često ih prikrivaju koristeći usluge skraćivanja linkova kao što je shorturl.at. Kada otvara URL fajlove preuzete sa interneta ili poslate putem emaila, Windows SmartScreen će prikazati upozorenje da bi otvaranje fajla moglo da naškodi računaru. Međutim, ako napadači prevare žrtvu da otvori njihov URL fajl, zahvaljujući CVE-2023-36095, grešci u Windows SmartScreenu, ovo upozorenje se ne prikazuje.

Kada se pokrene na kompromitovanom sistemu, Phemedrone počinje da krade podatke iz ciljanih aplikacija, koristeći Telegram za eksfiltraciju podataka. Aplikacije iz kojih Phemedrone krade podatke uključuju Chromium pregledače iz kojih krade lozinke, kolačiće i automatsko popunjavanje iz pregledača i bezbednosnih aplikacija kao što su LastPass, KeePass, Microsoft Authenticator i Google Authenticator. Malver krade podatke i iz različitih kripto novčanika, uključujući Atom, Armory, Electrum i Exodus, ali i informacije o sistemu, fajlove koji se odnose na Steam platformu i još mnogo toga.

Foto: Tadas Sar / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje

Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u

Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u

Nova verzija malvera BeaverTail koristi se za napade na ljude koji traže posao u tehnološkoj industriji. Napad, koji su otkrili istraživači iz Uni... Dalje

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci pokušavaju da iskoriste interes javnosti u vezi optužbi protiv rep zvezde Šona „Didija“ Kombsa za širenje novog malv... Dalje

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

SambaSpy je RAT, trojanac koji napadačima obezbeđuje daljinski pristup zaraženim uređajima, koji je prvi put primećen u maju ove godine kada je k... Dalje

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC koristi neobičan metod zaključavanja korisnika u kiosk režimu pregledača kako bi ih naterao da unesu korisničko ime i lozinku za Go... Dalje