Une campagne de logiciels malveillants de vol d’informations Phemedrone exploite une vulnérabilité Microsoft Defender SmartScreen (CVE-2023-36025) pour contourner les invites de sécurité Windows lors de l’ouverture des fichiers URL.
Phemedrone est un nouveau logiciel malveillant de vol d’informations open source qui récupère les données stockées dans les navigateurs Web, les portefeuilles de crypto-monnaie et les logiciels tels que Discord, Steam et Telegram. Ces données sont ensuite renvoyées aux attaquants pour être utilisées dans d’autres activités malveillantes ou pour être vendues à d’autres acteurs de la menace.
La faille Microsoft Defender exploitée dans la campagne Phemedrone est CVE-2023-36025, qui a été corrigée lors du Patch Tuesday de novembre 2023, où elle a été marquée comme activement exploitée dans des attaques.
« L’utilisateur devrait cliquer sur un raccourci Internet spécialement conçu (.URL) ou un lien hypertexte pointant vers un fichier de raccourci Internet à compromettre par l’attaquant », explique le bulletin de sécurité CVE-2023-36025.
Peu de détails ont été initialement partagés sur l’exploitation de CVE-2023-36025 dans la nature, mais les exploits de validation de principe publiés peu de temps après ont augmenté le risque pour les systèmes Windows non corrigés.
Les chercheurs de Trend Micro rapportent que la campagne Phemedrone n’est pas la seule famille de logiciels malveillants qu’ils ont vu cibler la faille particulière de Windows, avec d’autres cas impliquant des ransomwares.
Contourner SmartScreen
Les attaquants hébergent des fichiers URL malveillants sur des services cloud fiables tels que Discord et FireTransfer.io et les déguisent souvent en utilisant des services de raccourcissement comme shorturl.at.
Habituellement, lors de l’ouverture de fichiers URL téléchargés depuis Internet ou envoyés par e-mail, Windows SmartScreen affiche un avertissement indiquant que l’ouverture du fichier pourrait endommager l’ordinateur.
Cependant, lorsque la victime est amenée à ouvrir l’un des fichiers URL malveillants, elle exploite la faille CVE-2023-36095 dans Windows SmartScreen afin que cette invite ne s’affiche pas et que la commande soit exécutée automatiquement.
Le fichier URL télécharge un élément du panneau de configuration (.cpl) à partir du serveur de contrôle de l’attaquant et l’exécute, lançant une charge utile DLL malveillante via rundll32.exé.
La DLL est un chargeur PowerShell qui récupère un fichier ZIP à partir d’un référentiel GitHub contenant le chargeur de deuxième étape masqué en tant que fichier PDF (sécurisé.pdf), un binaire Windows légitime (WerFaultSecure.exe), et nous.dll, ‘ utilisé dans le chargement latéral des DLL et pour établir la persistance.
Une fois lancé sur le système compromis, Phenadrine initialise sa configuration, déchiffre les éléments nécessaires et vole les données des applications ciblées, en utilisant Telegram pour l’exfiltration des données.
Trend Micro rapporte que Phemedrone cible les applications/données suivantes:
- Navigateurs Chromium: Collecte les mots de passe, les cookies et le remplissage automatique à partir des navigateurs et des applications de sécurité comme LastPass, KeePass, Microsoft Authenticator et Google Authenticator.
- Navigateurs Gecko: Extrait les données utilisateur des navigateurs basés sur Gecko comme Firefox.
- Portefeuilles cryptographiques: Extrait les données de diverses applications de portefeuille cryptographique, notamment Atom, Armory, Electrum et Exodus.
- Discord: Obtient un accès non autorisé en extrayant des jetons d’authentification.
- File Grabber: Collecte les fichiers utilisateur à partir de dossiers tels que Documents et Desktop.
- FileZilla: Capture les détails et les informations d’identification FTP.
- Informations système: Rassemble les spécifications matérielles, la géolocalisation, les détails du système d’exploitation et les captures d’écran.
- Steam: Accède aux fichiers liés à la plateforme.
- Telegram: Extrait les données utilisateur, en se concentrant sur les fichiers d’authentification dans le dossier « data ».
