Los expertos han advertido que las PC con Windows están siendo atacadas por una nueva amenaza que es capaz de evitar su solución antivirus Defender.
Llamado Phemedrone Stealer, el malware roba datos confidenciales del dispositivo comprometido, como contraseñas y cookies de autenticación, y los filtra a los atacantes, según un nuevo informe de los investigadores de ciberseguridad Trend Micro.
Según el informe, el malware busca información confidencial almacenada en navegadores web, billeteras de criptomonedas y plataformas de mensajería como Telegram. Vapory Discordia. También puede tomar capturas de pantalla y extraer datos sobre el hardware, la ubicación y el Sistema operativo. Luego, la información robada se presenta a los atacantes a través de Telegram o su servidor de comando y control (C&C).
Hay un parche disponible
El malware aprovecha una vulnerabilidad que se descubrió recientemente en microsoft Pantalla inteligente de Windows Defender. Tiene un seguimiento como CVE-2023-36025 y tiene una puntuación de vulnerabilidad de 8,8/10. Esta falla, descrita como una característica de seguridad de Windows SmartScreen que evita la vulnerabilidad, permite a los actores de amenazas evitar las comprobaciones de Defender Smartscreen y las indicaciones asociadas. Para abusar de la falla, un atacante necesitaría crear un acceso directo a Internet (.URL) personalizado, o un hipervínculo que apunte a un acceso directo, y lograr que la víctima interactúe con él.
Microsoft corrigió la falla a mediados de noviembre de 2023; sin embargo, los piratas informáticos todavía están buscando dispositivos vulnerables que no hayan sido parcheados, por lo que se recomienda encarecidamente aplicar la solución. De hecho, la evidencia de uso salvaje ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) a agregar la falla a la lista de Vulnerabilidades Explotadas Conocidas (KEV).
«Ha llamado la atención del público que varias demostraciones y códigos de prueba de concepto han circulado en las redes sociales, que detallan la explotación de CVE-2023-36025», explicó Trend Micro en su artículo.
«Desde que surgieron por primera vez los detalles de esta vulnerabilidad, un número creciente de campañas de malware, una de las cuales distribuye la carga útil Phemedrone Stealer, han incorporado esta vulnerabilidad en sus cadenas de ataque».