Siber Muhbir

Trend Micro araştırmacıları Peter Girnus, Aliakbar Zahravi ve Simon Zuckerbraun, "Phemedrone, Telegram, Steam ve Discord gibi kripto para cüzdanlarından ve mesajlaşma uygulamalarından gelen web tarayıcılarını ve verileri hedefliyor" dedi.

"Ayrıca ekran görüntüleri alıyor ve donanım, konum ve işletim sistemi ayrıntılarıyla ilgili sistem bilgilerini topluyor. Çalınan veriler daha sonra Telegram veya komuta ve kontrol (C&C) sunucuları aracılığıyla saldırganlara gönderiliyor."

Saldırılar, Windows SmartScreen'deki bir güvenlik atlama güvenlik açığı olan CVE-2023-36025'ten (CVSS puanı: 8.8) yararlanır ve bu, bir kullanıcıyı özel hazırlanmış bir İnternet Kısayoluna (. URL) veya bir Internet Kısayolu dosyasına işaret eden bir köprü.

Aktif olarak istismar edilen eksiklik, Microsoft tarafından Kasım 2023 Salı Yaması güncellemelerinin bir parçası olarak ele alındı.

Enfeksiyon süreci, tehdit aktörünün Discord'da veya FileTransfer.io gibi bulut hizmetlerinde kötü amaçlı İnternet Kısayol dosyalarını barındırmasını içerir ve bağlantılar ayrıca Kısa URL gibi URL kısaltıcılar kullanılarak maskelenir.

Bubi tuzaklı infazı . URL dosyası, aktör tarafından kontrol edilen bir sunucuya bağlanmasına ve CVE-2023-36025'ten yararlanarak Windows Defender SmartScreen'i atlatacak şekilde bir denetim masası (.CPL) dosyası yürütmesine olanak tanır.

Araştırmacılar, "Kötü amaçlı .CPL dosyası, Windows Denetim Masası işlem ikili dosyası aracılığıyla yürütüldüğünde, DLL'yi yürütmek için rundll32.exe çağırıyor" dedi. "Bu kötü amaçlı DLL, GitHub'da barındırılan saldırının bir sonraki aşamasını indirmek ve yürütmek için Windows PowerShell'i çağıran bir yükleyici görevi görür."

Takip eden yük, Phemedrone Stealer'ın şifresini çözen ve yürüten açık kaynaklı bir kabuk kodu yükleyicisi olan Donut için bir başlatma rampası görevi gören bir PowerShell yükleyicisidir ("DATA3.txt").

C# ile yazılmış Phemedrone Stealer, geliştiricileri tarafından GitHub ve Telegram'da aktif olarak korunur ve güvenliği ihlal edilmiş sistemlerden hassas bilgilerin çalınmasını kolaylaştırır.

Gelişme, bir kez daha tehdit aktörlerinin giderek daha esnek hale geldiğinin ve saldırı zincirlerini yeni açıklanan istismarlardan yararlanmak ve maksimum hasar vermek için hızla uyarladığının bir işaretidir.

Araştırmacılar, "Yamalanmış olmasına rağmen, tehdit aktörleri CVE-2023-36025'ten yararlanmanın ve kullanıcılara fidye yazılımı ve Phemedrone Stealer gibi hırsızlar da dahil olmak üzere çok sayıda kötü amaçlı yazılım türü bulaştırmak için Windows Defender SmartScreen korumalarından kaçınmanın yollarını bulmaya devam ediyor" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.