Windows SmartScreen 绕过漏洞被利用部署恶意程序

阅读量58251

发布时间 : 2024-01-16 11:50:40

据网络安全公司趋势科技报告,Windows SmartScreen 中的一个最新漏洞在导致 Phemedrone Stealer 感染的攻击中被积极利用。

该安全缺陷被追踪为 CVE-2023-36025(CVSS 评分为 8.8),于 2023 年 11 月 14 日曝光,当时微软为其发布了补丁,美国网络安全机构 CISA 将其添加到其已知利用的漏洞目录中。野外剥削的证据。

根据微软的通报,可以通过向用户发送精心设计的互联网快捷方式文件(URL)并说服收件人点击它来利用该问题。

这家科技巨头表示:“攻击者将能够绕过 Windows Defender SmartScreen 检查及其相关提示。”

公开披露后,我们观察到威胁行为者展示了对该漏洞的利用,并发布了各种概念验证 (PoC) 漏洞,并且许多威胁行为者已将此漏洞的利用纳入其攻击链中。

现在,趋势科技报告称,恶意活动正在积极利用 CVE-2023-36025 来传播 Phemedrone Stealer,这是一种以前未知的恶意软件菌株,可以从受感染的系统中获取大量信息。

Phemedrone Stealer 采用 C# 编写,可作为开源软件使用,并在 GitHub 和 Telegram 上积极维护。

除了从网络浏览器、加密货币钱包和各种消息应用程序(包括 Telegram、Steam 和 Discord)窃取数据之外,该威胁还会截取屏幕截图并收集系统信息,包括硬件详细信息和位置数据。

然后,收集到的信息通过 Telegram 泄露或发送到攻击者的命令与控制 (C&C) 服务器。

作为观察到的攻击的一部分,利用 CVE-2023-36025 的恶意 URL 文件托管在 Discord 或其他云服务上。执行后,这些文件会下载并执行一个控制面板项 (.cpl) 文件,该文件调用 rundll32.exe 来执行恶意 DLL,充当下一阶段的加载程序,该阶段托管在 GitHub 上。

下一阶段是一个模糊加载器,它从同一 GitHub 存储库获取 ZIP 文件。该存档包含实现持久性和加载下一阶段所需的文件,进而加载 Phemedrone Stealer 有效负载。

趋势科技指出:“尽管已经打了补丁,但威胁行为者仍在继续寻找利用 CVE-2023-36025 并逃避 Windows Defender SmartScreen 保护的方法,以多种恶意软件类型感染用户,包括勒索软件和 Phemedrone Stealer 等窃取程序。”

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66