Falha do Windows SmartScreen explorada para entregar o malware Phemedrone

Uma vulnerabilidade do Microsoft Defender SmartScreen está a ser explorada pela campanha de malware info-stealer Phemedrone para ignorar os prompts de segurança do Windows ao abrir ficheiros URL.

O Phemedrone é um novo malware info-stealer de código aberto que recolhe dados armazenados em navegadores da web, carteiras de criptomoedas e softwares como o Discord, Steam e Telegram. Posteriormente, os dados são enviados de volta aos invasores com vista a serem utilizados em novas atividades maliciosas ou vendidos a outros cibercriminosos.

A falha do Microsoft Defender explorada na campanha Phemedrone – CVE-2023-36025 – foi corrigida durante o Patch Tuesday de novembro de 2023, onde foi assinalada como sendo explorada ativamente em ataques.

“O utilizador teria que clicar num atalho de Internet (.URL) especialmente criado ou num hiperlink a apontar para um arquivo de atalho de Internet para ser comprometido pelo invasor”, explica o boletim de segurança da vulnerabilidade.

Embora inicialmente não tenham sido partilhados muitos detalhes sobre a exploração da falha, as explorações de prova de conceito publicadas de seguida aumentaram o risco para sistemas Windows não corrigidos.

De acordo com os investigadores da Trend Micro, a campanha Phemedrone não é a única família de malware que observaram a visar uma falha específica no Windows, existindo outros casos que envolvem ransomware.

Os cibercriminosos hospedam arquivos URL maliciosos em serviços de cloud confiáveis, como o Discord e o FireTransfer.io, muitas vezes disfarçando-os através de serviços de encurtamento, como o shorturl.at.

Ao abrir ficheiros URL que foram downloaded da Internet ou enviados por email, o Windows SmartScreen geralmente alerta que a abertura do ficheiro pode danificar o computador. No entanto, quando os indivíduos visados são enganados e levados a abrir um dos ficheiros URL maliciosos, a falha CVE-2023-36095 é explorada no Windows SmartScreen para que este prompt não seja mostrado e o comando seja executado automaticamente.

O ficheiro URL faz download de um ficheiro de item do painel de controle (.cpl) do servidor de controlo do cibercriminoso e executa-o, iniciando uma carga útil de DLL maliciosa através de rundll32.exe.

Após iniciado no sistema comprometido, o Phemedrone inicializa a sua configuração, descriptografa os itens necessários e obtém dados das aplicações visadas, utilizando o Telegram para a exfiltração de dados.

Segundo a Trend Micro, os alvos do Phemedrone incluem os navegadores Chromium e Gecko, Discord, FileGrabber, FileZilla, Steam e Telegram, bem como carteiras criptográficas e informações do sistema.