Зафиксирована новая кампания по краже данных

Ориентированный на кражу данных вредонос Phemedrone был замечен в новой кампании.

Чтобы установить троян в систему жертвы, злоумышленники эксплуатируют уязвимость в Microsoft Defender SmartScreen (CVE-2023-36025). Phemedrone – опенсорсный инфостилер, собирающий данные жертвы из веб-браузеров, криптокошельков, а также мессенджеров Discord, Telegram и клиента Steam. Собранная информация отправляется в руки операторов Phemedrone и впоследствии используется для продажи другим злоумышленникам или развития собственных атак, пишет Anti-malware.ru.

Уязвимость CVE-2023-36025, фигурирующая в кампании Phemedrone, позволяет обойти защитную функцию SmartScreen. В ноябре в общий доступ выложили соответствующий эксплойт. С выходом ноябрьского набора патчей Microsoft устранила CVE-2023-36025 вместе с другими пятью уязвимостями нулевого дня. В отчёте Trend Micro специалисты отмечают, что упомянутую брешь используют не только операторы Phemedrone. CVE-2023-36025 была замечена и в атаках программ-вымогателей. При запуске в системе Phemedrone расшифровывает необходимые компоненты, получает конфигурацию и начинает сбор данных из определённых приложений. Для передачи сведений используется Telegram.

Юлия Парфенова, менеджер направления «контроль целостности» EfrosDefenceOperations, ООО «Газинформсервис» говорит, что эксплуатация уязвимостей – один из распространенных векторов атак у злоумышленников.«Для автоматизации процесса поиска уязвимостей целесообразно использовать специализированное ПО. Так, например, Efros DefOps помимо проверки на наличие известных уязвимостей предоставляет опции по построению векторов атак с учетом модели нарушителя. Такие функции могут быть полезны в крупной инфраструктуре, в которой обновление ПО проходит редко и имеется необходимость расчета достижимости уязвимостей», – говорит Юлия Парфенова.