Обнаружено новое вредоносное ПО, способное обходить Windows SmartScreen и красть пользовательские данные

Названный Phemedrone Stealer, это разновидность вредоносного ПО для сбора данных, которое фокусируется на различных типах файлов и конкретной информации о популярных программных продуктах, включая браузеры, файловые менеджеры, коммуникационные платформы и многие другие типы программного обеспечения.

Phemedrone Stealer даже обладает возможностью собирать в режиме реального времени оперативную информацию о целевой системе, включая данные геолокации, такие как IP, страна, город и почтовый индекс, в Windows 10 или 11, а также делать снимки экрана в процессе. Trend Micro перечисляет конкретные цели, на которые нацелено вредоносное ПО, следующим образом:

1. В браузерах на базе Chromium вредоносное ПО собирает данные паролей, файлы cookie и информацию автозаполнения, хранящуюся в таких приложениях, как LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile и Microsoft Authenticator, а также во многих других.
2. Для криптовалютных кошельков Phemedrone Stealer извлекает файлы из различных приложений криптовалютных кошельков, таких как Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum, Exodus и Guarda.
3. Что касается Discord, то вредоносная программа незаконно получила доступ к аккаунту пользователя.
4. Что касается FileGrabber, вредоносное ПО использует этот сервис для сбора пользовательских файлов из определенных папок, таких как «Документы» и «Рабочий стол».
5. Для FileZilla Phemedrone Stealer может захватывать данные и информацию о FTP-соединении из приложения.
6. Что касается Gecko, вредоносная программа нацелена на браузеры на базе Gecko для извлечения пользовательских данных (наиболее популярным является Firefox).
7. Информация о системе: Phemedrone Stealer собирает подробную информацию о системе, включая характеристики оборудования, географическое местоположение и информацию об операционной системе, а также делает снимки экрана.
8. Steam: Фемедрон получает доступ к файлам, связанным с игровой платформой Steam.
9. Telegram: Вредоносная программа извлекает пользовательские данные из каталога установки, в частности, нацеливаясь на файлы, связанные с аутентификацией, в каталоге tdata. Сюда входит поиск файлов по размеру и стилю именования.

Вектор атаки в данном случае представлен созданными URL-файлами, которые загружают и выполняют вредоносные сценарии, минуя при этом SmartScreen Защитника Windows. Таким образом, пользователи, которых обманом заставили открыть опасный файл, не увидят предупреждение SmartScreen о том, что этот тип файла потенциально опасен для компьютера. Как только вредоносное ПО ускользает от обнаружения, оно загружает полезную нагрузку и устанавливает постоянное присутствие в системе.

Поиск конкретных файлов и данных произойдет сразу после этого. Успешно собранные данные будут отправлены хакерам вредоносным ПО через API Telegram, популярной платформы обмена мгновенными сообщениями в нескольких странах мира. Сначала отправляется системная информация, а затем сжатый ZIP-файл, содержащий все собранные данные.

Хорошей новостью является то, что Microsoft устранила уязвимость CVE-2023-36025 14 ноября. Поэтому поддержание работоспособности ИТ-систем имеет важное значение, а регулярное применение последних обновлений безопасности обеспечит защиту от уязвимостей нулевого дня, которые существуют, но еще не появились. было исправлено.