苯丙酮盗窃者。请记住这个名称,因为它是当前针对运行 Windows 的计算机的强大威胁。经安全研究人员鉴定趋势科技在“例行威胁搜寻”过程中,这种特别恶意的恶意软件能够绕过 Microsoft Defender(Windows 上本机安装的防病毒系统)。
凭证、加密钱包和屏幕截图被盗
为了感染用户计算机,Phemedrone Stealer 利用影响 Windows Defender Smartscreen 的 CVE-2023-36025 缺陷。此缺陷是由于缺乏对互联网快捷方式 (.url) 安全性的验证而导致的。结果,黑客利用这个机会生成恶意 .url 文件,下载并执行恶意脚本,绕过 Smartscreen 控件生成的警告。
Phemedrone Stealer 主要针对网络浏览器以及加密货币钱包数据。在铬合金例如,该恶意软件能够收集大量数据:密码、cookie、LastPass、KeePass、NordPass、Google Authenticator,甚至 Microsoft Authenticator 等密码管理器自动填充模块中保存的信息。它还可以感染 Steam、Telegram 和 Discord 等消息应用程序,以提取您的个人数据,特别是与身份验证相关的数据。 FileZilla(FTP 客户端)等应用程序也成为攻击目标,恶意软件随后会捕获 FTP 连接详细信息以及程序中存储的各种凭据。
该恶意程序的代码是用 C# 编写的,维护在 Github 和 Telegram 上,并且是开源的。它可以在您不知情的情况下截取您的电脑屏幕截图或窃取您的个人数据。一旦这些数据被盗,就会通过 Telegram 发送给黑客,或者发送到他们控制下的服务器。
为了实施他们的犯罪行为,黑客在不同平台(例如 Discord)或在线存储服务(例如 FileTransfer.io)上分发一系列 .url 格式的快捷方式文件。最重要的是,他们还使用 URL 缩短服务,例如 Shorturl.at,以进一步混淆视听。剩下的就是让毫无戒心的用户通过点击恶意链接上钩,以便后者利用漏洞。
微软修复了一个缺陷,但仍然被积极利用
这个故事中最令人惊讶的无疑是,微软去年11月就已经纠正了黑客利用的漏洞。补丁发布后,此漏洞的详细信息已发布在网上。黑客总是在寻找尚未应用补丁的机器(因此仍然容易受到攻击),并借此机会针对它们进行了大规模的感染活动。还有一个原因(如果需要的话),以确保最新的更新正确安装在您的电脑上。
来源 : 科技雷达