Tin tặc lợi dụng lỗ hổng của Windows SmartScreen để phát tán phần mềm độc hại Phemedrone

Theo đó, Phemedrone là phần mềm độc hại đánh cắp thông tin nguồn mở mới, với khả năng thu thập dữ liệu được lưu trong trình duyệt web, ví tiền điện tử và các ứng dụng như Discord, Steam và Telegram. Dữ liệu này sau đó được gửi cho kẻ tấn công để sử dụng trong các hoạt động độc hại hoặc để bán cho các tác nhân đe dọa khác.

Lỗ hổng bị khai thác trong chiến dịch Phemedrone có mã định danh là CVE-2023-36025. Lỗ hổng này đã được vá trong bản cập nhật Patch Tuesday tháng 11 năm 2023 và được đánh dấu là đã bị khai thác trong các cuộc tấn công trong thực tế.

Tư vấn bảo mật cho CVE-2023-36025 cho biết: “Người dùng sẽ phải nhấp vào một Internet Shortcut (.URL) độc hại hoặc một liên kết (hyperlink) trỏ đến tệp Internet Shortcut để kẻ tấn công có thể xâm phạm”.

Ban đầu không có nhiều thông tin chi tiết về việc khai thác CVE-2023-36025 được chia sẻ công khai, nhưng các bằng chứng về việc khai thác được công bố ngay sau đó đã làm tăng rủi ro cho các hệ thống Windows chưa được vá.

Các nhà nghiên cứu từ Trend Micro - Công ty phần mềm an ninh mạng Mỹ Nhật cho biết, Phemedrone không phải là họ mã độc duy nhất nhắm mục tiêu vào lỗ hổng Windows này, các trường hợp khác được phát hiện có liên quan đến ransomware.

Bỏ qua SmartScreen

Những kẻ tấn công lưu trữ các tệp URL độc hại trên các dịch vụ cloud tin cậy như Discord và FireTransfer.io và thường ngụy trang chúng bằng các dịch vụ rút ngắn như shorturl.at.

Thông thường, khi mở các file URL tải về từ internet hoặc gửi qua email, tính năng Windows SmartScreen sẽ hiển thị cảnh báo việc mở file có thể gây hại cho máy tính. Tuy nhiên, khi nạn nhân bị lừa mở một trong các tệp URL độc hại, chúng sẽ khai thác lỗ hổng CVE-2023-36095 trong Windows SmartScreen để lời nhắc này không được hiển thị và sau đó tin tặc có thể dễ dàng tấn công thiết bị.

Từ đây các tệp URL tải xuống tệp điều khiển (.cpl) từ máy chủ của kẻ tấn công và thực thi nó, khởi chạy một payload DLL độc hại thông qua rundll32.exe.

DLL này là một PowerShell loader, được dùng để tải về tệp ZIP từ kho lưu trữ GitHub chứa loader giai đoạn hai được giả mạo dưới dạng tệp PDF (Secure.pdf), tệp nhị phân Windows hợp pháp (WerFaultSecure.exe) và 'wer.dll', được sử dụng cho DLL side-loading và để thiết lập quyền truy cập lâu dài.

Sau khi khởi chạy trên hệ thống bị xâm nhập, Phemedrone sẽ đánh cắp dữ liệu từ các ứng dụng được nhắm mục tiêu và sử dụng Telegram để chuyển dữ liệu.

Ứng dụng/dữ liệu bị Phemedrone nhằm tới

- Trình duyệt Chrome: Thu thập mật khẩu, cookie và dữ liệu tự động điền từ các trình duyệt và ứng dụng bảo mật như LastPass, KeePass, Microsoft Authenticator và Google Authenticator.

- Trình duyệt Gecko: Trích xuất dữ liệu người dùng từ các trình duyệt dựa trên Gecko như Firefox.

- Ví tiền điện tử: Trích xuất dữ liệu từ nhiều ứng dụng ví tiền điện tử khác nhau, bao gồm Atom, Armory, Electrum và Exodus.

- Discord: Giành quyền truy cập trái phép bằng cách trích xuất mã token xác thực.

- FileGrabber: Thu thập tệp người dùng từ các thư mục như Documents và Desktop.

- FileZilla: Ghi lại thông tin chi tiết và thông tin đăng nhập FTP.

- Thông tin hệ thống: Thu thập thông số phần cứng, vị trí địa lý, chi tiết hệ điều hành và ảnh chụp màn hình.

- Steam: Truy cập các tập tin liên quan đến nền tảng.

- Telegram: Trích xuất dữ liệu người dùng, tập trung vào các tệp xác thực trong thư mục "tdata".

Báo cáo của Trend Micro là một cảnh báo đối với cộng đồng người dùng và các chuyên gia an ninh. Để giảm thiểu rủi ro, người dùng cần cập nhật bản vá cho hệ thống và ứng dụng của mình ngay khi có sẵn. Đồng thời, cần duy trì sự cảnh giác khi mở các liên kết hoặc tệp đính kèm từ các nguồn không rõ và tránh tiếp xúc với các dịch vụ ngắn đường link không an toàn.

Các chuyên gia bảo mật cũng khuyến nghị việc sử dụng các giải pháp an ninh mạng chuyên sâu để phòng tránh những mối đe dọa tiềm ẩn từ các phần mềm độc hại như Phemedrone.

Duy Trinh (theo BleepingComputer)