Poznaliśmy szczegóły groźnego malware atakującego system Windows
Nawet najlepsze zabezpieczenia mogą być niewystarczające – dowody na to dostajemy niemalże codziennie. Z jednej strony firmy chwalą się ulepszeniami, ale jednocześnie muszą na bieżąco walczyć z różnymi atakami dokonywanymi przez cyberprzestępców. Ci na bieżąco pokazują, że są w stanie pokonać kolejne zabezpieczenia. Niestety to trochę błędne koło, dlatego my sami musimy być też szczególnie ostrożni podczas naszych działań w sieci i instalować poprawki bezpieczeństwa, gdy te zostają wydane.
Czytaj też:Google znalazł nowy sposób na zmuszenie Cię do subskrypcji YouTube Premium. Jest coraz gorzej
Tym razem poznaliśmy szczegóły dotyczące złośliwego oprogramowania o nazwie Phemedrone Stealer, odkrytego w systemie Windows przez badaczy z firmy Trend Micro. Nieznane wcześniej malware wykorzystywało lukę w zabezpieczeniach Windows Defender SmartScreen CVE-2023-36025. Na szczęście istotny jest tutaj czas przeszły, bo ta została już załatana. Dlatego też poznaliśmy konkrety – taki jest mechanizm, że zwykle o tych sprawach mówi się dopiero wtedy, kiedy użytkownicy zostają już odpowiednio zabezpieczeni. Warto jednak wiedzieć takie rzeczy, by w przyszłości być bardziej uważnym.
Czytaj też: Google przywróci funkcję sprzed lat. Znów chce kopiować Apple’a?
W przypadku tego malware wektorem ataku są spreparowane pliki .url, które pobierają i wykonują złośliwe skrypty, omijając przy tym filtr Windows Defender SmartScreen. Dlatego użytkownik podczas otwarcia niebezpiecznego pliku nie zobaczy ostrzeżenia SmartScreen, że ten typ pliku może potencjalnie wyrządzić szkody komputerowi. Gdy złośliwe oprogramowanie uniknie wykrycia, instaluje się na naszym sprzęcie i następnie wyszukuje określone pliki oraz informacje. W kolejnym kroku wysyła je do hakerów za pośrednictwem API Telegramu. W pierwszej kolejności wysyłane są informacje o systemie, a następnie skompresowany plik ZIP zawierający wszystkie zebrane dane.
Jego zakres działania jest naprawdę ogromny. Trend Micro wyszczególnił następujące akcje:
- Przeglądarki oparte na Chromie – malware zbiera dane, w tym hasła, pliki cookie i informacje autouzupełniania, przechowywane między innymi w aplikacjach takich jak LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile i Microsoft Authenticator.
- Portfele kryptowalutowe – wyodrębnia pliki z różnych aplikacji portfeli kryptowalut, takich jak Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum, Exodus i Guarda.
- Discord – Phemedron pobiera tokeny uwierzytelniające z aplikacji Discord, umożliwiając nieautoryzowany dostęp do konta użytkownika.
- FileGrabber – złośliwe oprogramowanie korzysta z tej usługi w celu gromadzenia plików użytkownika z wyznaczonych folderów, takich jak Dokumenty i Pulpit.
- FileZilla – Phemedrone przechwytuje szczegóły połączenia FTP i dane uwierzytelniające z FileZilla.
- Gekon – malware atakuje przeglądarki oparte na Gecko w celu ekstrakcji danych użytkownika (najpopularniejszy jest Firefox).
- Informacje o systemie – Phemedrone zbiera szczegółowe informacje o systemie, w tym specyfikacje sprzętu, geolokalizację i informacje o systemie operacyjnym, a także wykonuje zrzuty ekranu.
- Steam – Phemedron uzyskuje dostęp do plików związanych z platformą gier Steam.
- Telegram – malware wyodrębnia dane użytkownika z katalogu instalacyjnego, w szczególności atakując pliki związane z uwierzytelnianiem w folderze „tdata”. Obejmuje to wyszukiwanie plików na podstawie rozmiaru i wzorców nazewnictwa.
Jak już wspomniałam, luka została juz załatana w aktualizacji wydanej 14 listopada, więc każdy użytkownik Windowsa powinien już mieć ja zainstalowaną. Pamiętajcie jednak, by nie tylko na bieżąco instalować wszelkie łatki i uaktualnienia zabezpieczeń, ale też bądźcie czujni i nie pobierajcie, a przede wszystkim nie instalujcie żadnych plików z nieznanego źródła.