Una vulnerabilidad (CVE-2023-36025) que Microsoft solucionó en noviembre de 2023 sigue siendo explotada por vendedores ambulantes de malware: esta vez, la amenaza entregada es una variante de Phemedrone Stealer.

Sobre el malware

Phemedrone Stealer es un malware escrito en C#, sin dependencias. Es capaz de:

  • Recopilar información del sistema (hardware, sistema operativo, geolocalización) y realizar capturas de pantalla.
  • Recopilar todos los datos contenidos en la memoria del dispositivo objetivo
  • Tomar archivos de usuario de carpetas específicas (por ejemplo, Documentos, Escritorio)
  • Obtener cookies, contraseñas y autocompletar de navegadores basados ​​en Chromium (Google Chrome, Microsoft Edge, Opera, Brave, etc.) y navegadores basados ​​en Gecko (por ejemplo, Firefox)
  • Extracción de datos confidenciales de aplicaciones de autenticación y contraseñas mediante extensiones instaladas en navegadores basados ​​en Chromium
  • Obtener tokens de autenticación de Discord y archivos relacionados con archivos relacionados con la autenticación de Steam y Telegram
  • Extracción de archivos de aplicaciones populares de billeteras de criptomonedas
  • Captura de detalles de conexión y credenciales para FileZilla (una solución FTP gratuita)

Los datos recopilados se comprimen y extraen a través de la API de Telegram.

CVE-2023-36025 explotado

La explotación de CVE-2023-36025 permite a los atacantes eludir las comprobaciones de Windows Defender SmartScreen y los mensajes asociados, lo que significa que cuando se engaña a la víctima para que descargue y abra un archivo malicioso, Windows no les avisará si el servicio encuentra el archivo (o sitio web) sospechoso y potencialmente malicioso.

Microsoft lanzó correcciones para CVE-2023-36025 el martes de parches de noviembre de 2023 y advirtió en ese momento que la vulnerabilidad ya se estaba aprovechando en ataques en la naturaleza.

Una semana después, la compañía confirmó que se había hecho público un exploit de prueba de concepto. (Desde entonces se han publicado otras PoC y demostraciones).

Los atacantes han abusado anteriormente de la vulnerabilidad para entregar los troyanos de acceso remoto Remcos , DarkGate y NetSupport .

En esta última campaña, la última carga útil maliciosa es Phemedrone Stealer .

Los investigadores de Trend Micro no dijeron cómo se engaña a las víctimas para que descarguen archivos maliciosos de acceso directo a Internet ( .url ) alojados en Discord u otros servicios en la nube como FileTransfer.io, pero saben que una vez que lo ejecutan, se activa un exploit para CVE-2023. 36025 se activa y se descarga un archivo DLL disfrazado de archivo de elemento del panel de control (.cpl).

CVE-2023-36025 explotado
Cadena de infección de Phemedrone Stealer (Fuente: Trend Micro)

“Cuando el archivo malicioso .cpl se ejecuta a través del proceso binario del Panel de control de Windows, a su vez llama a rundll32.exe para ejecutar la DLL. Esta DLL maliciosa actúa como un cargador que luego llama a Windows PowerShell para descargar y ejecutar la siguiente etapa del ataque, alojada en GitHub”, explicaron .

Se descargan una serie de archivos y scripts adicionales para lograr persistencia y evasión de defensa de segunda etapa para que se pueda instalar Phemedrone Stealer.

Actúe ahora: puede que sea tarde, pero no demasiado tarde
«Los actores de amenazas continúan encontrando formas de explotar CVE-2023-36025 y evadir las protecciones de Windows Defender SmartScreen para infectar a los usuarios con una gran cantidad de tipos de malware», señalaron los investigadores.

Se insta a las organizaciones que aún no han actualizado sus instalaciones de Microsoft Windows para corregir CVE-2023-36025 a que lo hagan rápidamente.

Fuente y redacción: Zeljka Zorz / helpnetsecurity.com

Compartir