La ejecución del archivo .url establece una conexión a un servidor controlado por un atacante para descargar y ejecutar un archivo de elemento del panel de control (.cpl). Idealmente, Microsoft Defender SmartScreen debería generar advertencias y mensajes de seguridad antes de ejecutar el archivo .url desde una fuente que no es de confianza.
«Los atacantes crean un archivo de acceso directo de Windows (.url) para evadir el aviso de protección SmartScreen empleando un archivo .cpl como parte de un mecanismo de entrega de carga útil malicioso», según la publicación. “Los actores de amenazas aprovechan la técnica MITRE ATT&CK T1218.002que abusa del proceso binario del Panel de control de Windows (control.exe) para ejecutar archivos .cpl”.
Luego, el archivo malicioso .cpl se ejecuta a través del proceso binario del Panel de control de Windows para iniciar el dropper final de Phemedrone junto con algunos otros pasos para establecer la persistencia. Una vez iniciado, Phemedrone inicializa las configuraciones y descifra elementos y credenciales críticos de aplicaciones específicas en sistemas infectados, incluidos navegadores Chromium, billeteras criptográficas, Discord, FileGrabber, FileZilla, System Info, Steam y Telegram.
Explotación a pesar del parche
Microsoft había solucionado CVE-2023-36025 como parte del parche de noviembre de 2023 el martes y había recomendado a los usuarios que actualizaran inmediatamente ya que el error tenía un alto nivel de explotación activa.
«A pesar de haber sido parcheados, los actores de amenazas continúan encontrando formas de explotar CVE-2023-36025 y evadir las protecciones de Windows Defender SmartScreen para infectar a los usuarios con una gran cantidad de tipos de malware», dijo Trend Micro. «Existe un código de explotación de prueba de concepto público en la web que aumenta el riesgo para las organizaciones que aún no han actualizado a la última versión parcheada».
Trend Micro recomienda actualizar inmediatamente a versiones parcheadas de las instalaciones de Windows e implementar herramientas XDR efectivas para detectar, escanear y bloquear contenido malicioso de manera consistente.