I ricercatori di Tend Micro, attraverso un rapporto, hanno voluto mettere in guardia gli utenti Windows rispetto a un nuovo pericolo. Stiamo parlando di Phemedrone Stealer, un agente malevolo in grado di rubare dati sensibili dai dispositivi compromessi.
A rendere unico questo infostealer rispetto ai tanti malware simili è lo sfruttamento di una vulnerabilità specifica, legata a Windows Defender SmartScreen. L’exploit è noto agli addetti ai lavori come CVE-2023-36025 e si presenta con un indice di pericolosità elevato.
Per sfruttare la vulnerabilità in questione, i criminali informatici creano un file con estensione .URL) o un collegamento ipertestuale malevolo. L’attivazione di file o link comporta il download e l’esecuzione di un file .cpl, con conseguente avvio di un payload DLL dannoso attraverso rundll32.exe.
Questo, a sua volta recupera un file ZIP da un repository GitHub contenente il loader della seconda fase, apparentemente un PDF che si rivela un file binario Windows legittimo (WerFaultSecure.exe) e un ulteriore DLL (wer.dll), utilizzato per garantire la persistenza del malware.
Di fatto, basta un semplice clic per avviare Phemedrone e causare dei veri e propri disastri sul proprio PC Windows.
Phemedrone: con la patch di novembre i computer Windows sono protetti
Secondo quanto riportato da Trend Micro, tra gli obiettivi di Phemedrone figurano:
- Browser basati su Chromium;
- Diversi password manager;
- Microsoft Authenticator e Google Authenticator;
- Wallet crittografici (tra cui figurano Atom, Armory, Electrum ed Exodus);
- Discord e Telegram;
- App per la gestione FTP come FileZilla;
- Steam.
Una volta individuati i dati, l’infostealer agisce inviando gli stessi tramite Telegram o direttamente a un server di comando e controllo gestito dai cybercriminali.
In realtà, la falla di sicurezza che interessa SmartScreen non è sconosciuta: questa infatti, è stata corretta con il Patch Tuesday di metà novembre. Nonostante ciò, gli hacker stanno setacciando il Web alla ricerca di chi non ha ancora applicato l’aggiornamento. Proprio per questo motivo, gli esperti di sicurezza consigliano fortemente di aggiornare Windows con la patch correttiva in quanto è l’unico modo concreto per evitare l’infezione.
Come affermato dagli esperti, Phemedrone non è l’unico malware che prende di mira l’exploit SmartScreen, visto che esistono anche alcuni ransowmare che hanno colto questa occasione per trovare un nuovo canale di diffusione.