新型恶意软件Phemedrone Stealer正在活跃传播

网络安全专家发现了 CVE-2023-36025 的活跃利用，这也导致了一种名为 Phemedrone Stealer 的新型恶意软件的传播。

该恶意软件明确针对网络浏览器，并从加密货币钱包和 Telegram、Steam 和 Discord 等消息应用程序收集数据。

此外，Phemedrone 收集系统信息，包括硬件详细信息和位置，通过 Telegram 或其命令与控制 (C2) 服务器将窃取的数据发送给攻击者。

该漏洞影响 Microsoft Windows Defender SmartScreen，是由于对 Internet 快捷方式 (.url) 文件检查不充分而造成的。

威胁参与者通过创建下载并执行恶意脚本的 .url 文件来利用此漏洞，绕过 Windows Defender SmartScreen 警告。

Microsoft于 2023 年 11 月 14 日解决了此漏洞。尽管如此，该漏洞的野外利用促使网络安全和基础设施安全局 (CISA) 在同一天将其列入已知被利用的漏洞 (KEV) 列表中。

有证据表明，自发现以来，各种恶意软件活动（包括分发 Phemedrone Stealer 有效负载的恶意软件活动）已将此漏洞纳入其攻击链中。攻击媒介主要涉及在 Discord 或 FileTransfer.io 等云服务上托管恶意 .url 文件，攻击者使用 URL 缩短程序来伪装这些文件。

一旦利用 CVE-2023-36025 的恶意 .url 文件被执行，该恶意软件就会采用防御规避技术（例如 DLL 侧载和动态 API 解析）来混淆其存在。该恶意软件通过创建计划任务并利用加密的第二阶段加载程序来实现持久性。

了解有关 CVE-2023-36025 漏洞利用的更多信息：BattleRoyal Cluster 发出 DarkGate Surge 信号

第二阶段萃取和渗滤

Phemedrone Stealer 的第二阶段涉及一个名为 Donut 的开源 shellcode，可以在内存中执行各种文件类型。该恶意软件动态地针对广泛的应用程序和服务。然后，它从浏览器、加密钱包、Discord、FileZilla、Steam 等中提取敏感信息，包括凭证。

该恶意软件还采用了复杂的数据泄露过程，压缩并通过 Telegram API 发送收集的数据。它通过验证 Telegram API 令牌来确保数据完整性，并向攻击者传输详细的系统信息报告。

尽管微软发布了 CVE-2023-36025 补丁，但趋势科技表示，威胁行为者仍在利用此漏洞，并强调组织需要及时更新其 Windows 安装。

该通报中写道：“组织必须确保更新 Microsoft Windows 安装，以防止受到 Microsoft Windows Defender SmartScreen 绕过的影响。”

“网络上存在公共概念验证漏洞代码，增加了尚未更新到最新补丁版本的组织的风险。”