苯丙酮竊盜者。請記住這個名稱,因為它是目前針對執行 Windows 的電腦的強大威脅。經安全研究人員鑑定趨勢科技在「例行威脅搜尋」過程中,這種特別惡意的惡意軟體能夠繞過 Microsoft Defender(Windows 上本機安裝的防毒系統)。
憑證、加密錢包和螢幕截圖被盜
為了感染使用者計算機,Phemedrone Stealer 利用影響 Windows Defender Smartscreen 的 CVE-2023-36025 缺陷。此缺陷是由於缺乏對網路捷徑 (.url) 安全性的驗證而導致的。結果,駭客利用這個機會產生惡意 .url 文件,下載並執行惡意腳本,繞過 Smartscreen 控制項產生的警告。
Phemedrone Stealer 主要針對網頁瀏覽器以及加密貨幣錢包資料。在鉻合金例如,該惡意軟體能夠收集大量資料:密碼、cookie、LastPass、KeePass、NordPass、Google Authenticator,甚至 Microsoft Authenticator 等密碼管理器自動填入模組中所儲存的資訊。它還可以感染 Steam、Telegram 和 Discord 等訊息應用程序,以提取您的個人數據,特別是與身份驗證相關的數據。 FileZilla(FTP 用戶端)等應用程式也成為攻擊目標,惡意軟體隨後會擷取 FTP 連線詳細資訊以及程式中儲存的各種憑證。
該惡意程式的程式碼是用 C# 編寫的,維護在 Github 和 Telegram 上,並且是開源的。它可以在您不知情的情況下截取您的電腦螢幕截圖或竊取您的個人資料。一旦這些資料被盜,就會透過 Telegram 發送給駭客,或發送到他們控制下的伺服器。
為了實施他們的犯罪行為,駭客在不同平台(例如 Discord)或線上儲存服務(例如 FileTransfer.io)上分發一系列 .url 格式的捷徑檔案。最重要的是,他們還使用 URL 縮短服務,例如 Shorturl.at,以進一步混淆視聽。剩下的就是讓毫無戒心的用戶透過點擊惡意連結上鉤,以便後者利用漏洞。
微軟修復了一個缺陷,但仍然被積極利用
這個故事中最令人驚訝的無疑是,微軟去年11月就已經修正了駭客利用的漏洞。補丁發布後,此漏洞的詳細資訊已發佈在網路上。駭客總是在尋找尚未套用修補程式的機器(因此仍然容易受到攻擊),並藉此機會針對它們進行了大規模的感染活動。還有一個原因(如果需要的話),以確保最新的更新正確安裝在您的電腦上。
來源 : 科技雷達
