Un fallo de SmartScreen en windows ayuda propagar malware

Una campaña del malware Phemedrone aprovecha una vulnerabilidad de Microsoft Defender SmartScreen (CVE-2023-36025) para eludir los avisos de seguridad de Windows al abrir archivos URL.

Phemedrone es un nuevo programa malicioso de código abierto que roba información almacenada en navegadores web, monederos de criptomonedas y software como Discord, Steam y Telegram. Estos datos son enviados de vuelta a los atacantes para ser utilizados en otras actividades maliciosas o para ser vendidos a otros actores de amenazas.

El fallo de Microsoft Defender explotado en la campaña de Phemedrone es el CVE-2023-36025, que fue parcheado en el parche del martes de noviembre de 2023, donde se marcó como explotado activamente en los ataques.

«El usuario debe hacer clic en un acceso directo de Internet (.URL) especialmente diseñado o en un hipervínculo que apunte a un archivo de acceso directo de Internet para que el atacante se vea comprometido», explica el boletín de seguridad CVE-2023-36025.

Inicialmente se dieron a conocer pocos detalles sobre cómo se explotaría CVE-2023-36025 en la naturaleza, pero los exploits de prueba de concepto publicados poco después aumentaron el riesgo para los sistemas Windows sin parches.

Los investigadores de Trend Micro informan de que la campaña Phemedrone no es la única familia de malware que han visto dirigida a este fallo concreto de Windows, con otros casos relacionados con ransomware.

Anulación de SmartScreen

Los atacantes alojan archivos URL maliciosos en servicios en la nube de confianza como Discord y FireTransfer.io y suelen camuflarlos utilizando servicios de acortamiento como shorturl.at.

Normalmente, al abrir archivos URL descargados de Internet o enviados por correo electrónico, Windows SmartScreen muestra una advertencia de que abrir el archivo puede dañar el ordenador.

Sin embargo, cuando se solicita a la víctima que abra uno de los archivos URL maliciosos, aprovechan la vulnerabilidad de Windows SmartScreen CVE-2023-36095 para que no se muestre esta solicitud y el comando se ejecute automáticamente.

El archivo URL descarga un archivo de elementos del panel de control (.cpl) desde el servidor de control del atacante y lo ejecuta, lanzando una carga maliciosa DLL a través de rundll32.exe.

La DLL es un cargador de PowerShell que recupera un archivo ZIP de un repositorio de GitHub que contiene el cargador de segunda etapa disfrazado de archivo PDF (Secure.pdf), un binario legítimo de Windows (WerFaultSecure.exe) y «wer.dll», que se utiliza para cargar lateralmente la DLL y establecer la persistencia.

Una vez lanzado en el sistema comprometido, Phemedrone inicializa su configuración, descifra los elementos necesarios y roba datos de las aplicaciones objetivo, utilizando Telegram para la exfiltración de datos.

Trend Micro informa de que Phemedrone tiene como objetivo las siguientes aplicaciones/datos:

  • Navegadores Chromium: Recupera contraseñas, cookies y autorrelleno de navegadores y aplicaciones de seguridad como LastPass, KeePass, Microsoft Authenticator y Google Authenticator.
  • Navegadores Gecko: Extrae datos de usuario de navegadores basados en Gecko como Firefox.
  • Monederos de criptomonedas: Extrae datos de varias aplicaciones de monederos de criptomonedas, como Atom, Armory, Electrum y Exodus.
  • Discord: obtiene acceso no autorizado extrayendo tokens de autenticación.
  • FileGrabber: recopila archivos de usuarios en carpetas como Documentos y Escritorio.
  • FileZilla: Captura detalles y credenciales FTP.
  • Información del sistema: Recopila especificaciones de hardware, geolocalización, detalles del sistema operativo y capturas de pantalla.
  • Steam: Accede a archivos relacionados con la plataforma.
  • Telegram: Extrae datos del usuario, centrándose en los archivos de autenticación de la carpeta «tdata».

Trend Micro ha publicado aquí la lista completa de indicadores de compromiso (IoC) de la campaña Phemedrone observada recientemente.