I ricercatori di Trend Micro hanno individuato diversi attacchi che sfruttano la vulnerabilità CVE-2023-36025 presente in Windows Defender SmartScreen. La funzionalità di sicurezza può essere aggirata da Phemedrone, un info-stealer che raccoglie dati da browser, wallet di criptovalute e software. Microsoft ha rilasciato la patch il 14 novembre 2023, quindi è necessario installare tutti gli aggiornamenti da Windows Update.
Phemedrone aggira Defender SmartScreen
Defender SmartScreen protegge il dispositivo controllando app e file provenienti da Internet. Rileva inoltre siti e download pericolosi in Edge. A causa della vulnerabilità è possibile aggirare questa protezione, utilizzando particolari file .url che scaricano ed eseguono script senza innescare il controllo di SmartScreen (e la visualizzazione dell’avviso di sicurezza).
I cybercriminali usano servizi cloud, come Discord o FileTransfer.io per ospitare i file .url, spesso mascherati con servizi di URL shortener. Il file viene eseguito all’apertura e scarica un file .cpl (elemento del Pannello di controllo) che non viene segnalato da SmartScreen. Viene quindi eseguito un loader PowerShell che preleva da un repository di GitHub un archivio ZIP contenente tre file: WerFaultSecure.exe
(eseguibile legittimo), Secure.pdf
(secondo loader) e wer.dll
(DDL infetta per la persistenza).
Il secondo loader carica ed esegue Phemedrone. L’info-stealer inizia quindi a raccogliere numerosi dati da browser, wallet di criptovalute, FileGrabber, FileZilla e Telegram. Il malware può rubare anche le credenziali di accesso a Discord e Steam. I dati sono successiamente inseriti in un archivio ZIP e inviati al server controllato dai cybercriminali.
Come detto, Microsoft ha rilasciato la patch a metà novembre, quindi gli utenti devono sempre installare gli aggiornamenti di sicurezza da Windows Update.