Windows SmartScreen 绕过漏洞被利用部署恶意程序

据网络安全公司趋势科技报告，Windows SmartScreen 中的一个最新漏洞在导致 Phemedrone Stealer 感染的攻击中被积极利用。

这一安全漏洞被标识为 CVE-2023-36025（CVSS 评分为 8.8），于 2023 年 11 月 14 日被曝光。微软当时发布了相应的补丁，而美国网络安全机构 CISA 也将其列入已知被利用漏洞目录，证实了在野外攻击中存在相关证据。

根据微软的通报，黑客可以通过向用户发送精心设计的互联网快捷方式文件（URL）并说服收件人点击它来利用该问题。

这家科技巨头表示：“黑客将能够绕过 Windows Defender SmartScreen 检查及其相关提示。”

在漏洞公开披露后，我们观察到黑客展示了对该漏洞的利用，并发布了各种概念验证 (PoC) 漏洞，并且许多黑客已将此漏洞的利用纳入其攻击链中。

现在，趋势科技报告称，恶意活动正在积极利用 CVE-2023-36025 来传播 Phemedrone Stealer，这是一种以前未知的恶意软件类型，可以从受感染的系统中获取大量信息。

Phemedrone Stealer 采用 C# 编写，可作为开源软件使用，并在 GitHub 和 Telegram 上积极维护。

除了从网络浏览器、加密货币钱包和各种消息应用程序（包括 Telegram、Steam 和 Discord）窃取数据之外，该威胁还会截取屏幕截图并收集系统信息，包括硬件详细信息和位置数据。

然后，收集到的信息通过 Telegram 泄露或发送到攻击者的命令与控制 (C&C) 服务器。

作为观察到的攻击的一部分，利用 CVE-2023-36025 的恶意 URL 文件托管在 Discord 或其他云服务上。执行后，这些文件会下载并执行一个控制面板项 (.cpl) 文件，该文件调用 rundll32.exe 来执行恶意 DLL，充当下一阶段的加载程序，该阶段托管在 GitHub 上。

下一阶段是一个模糊加载器，它从同一 GitHub 存储库获取 ZIP 文件。该存档包含实现持久性和加载下一阶段所需的文件，进而加载 Phemedrone Stealer 有效负载。

趋势科技指出：“尽管已经打了补丁，但黑客仍在继续寻找利用 CVE-2023-36025 并逃避 Windows Defender SmartScreen 保护的方法，以多种恶意软件类型感染用户，包括勒索软件和 Phemedrone Stealer 等窃取程序。”

转自安全客，原文链接：https://www.anquanke.com/post/id/292678