Investigadores de Trend Micro han descubierto que los atacantes están robando información con la ayuda de una vulnerabilidad en Microsoft Windows ya parcheada. Los atacantes utilizan la desventaja CVE-2023-36025 para distribuir Phemedrone Stealer, un ladrón de información de código abierto. Phemedrone Stealer tiene como objetivo los navegadores web, así como información de las billeteras de criptomonedas y aplicaciones de mensajería como Telegram, Steam y Discord. La vulnerabilidad permite a los atacantes saltarse la seguridad por SmartScreen de Windows, engañando al usuario para que haga clic en un acceso directo de Internet (.URL) especialmente elaborado o un hipervínculo que apunta a un archivo de acceso directo de Internet.
Los atacantes alojan archivos de acceso directo de Internet maliciosos en Discord o servicios en la nube como FileTransfer.io, con enlaces ocultos utilizando acortadores de URL como ShortURL. La ejecución del archivo .URL permite la conexión a un servidor controlado por el atacante y la ejecución de un archivo de panel de control (.CPL) para evitar la detección de Windows Defender SmartScreen.
«A pesar de haber sido parcheada, los actores de amenazas continúan encontrando formas de explotar CVE-2023-36025 y evadir las protecciones de Windows Defender SmartScreen para infectar a los usuarios con una gran cantidad de tipos de malware, incluidos ransomware y ladrones como Phemedrone Stealer», concluyen los investigadores. Este desarrollo es una señal de que los actores de amenazas se adaptan rápidamente a los nuevos exploits publicados para causar el máximo daño. Además, el hecho de que Phemedrone Stealer sea mantenido activamente por sus desarrolladores en GitHub y Telegram hace que este tipo de amenaza sea aún más peligrosa para los sistemas comprometidos.
