Cyberattaques : une faille dans Windows SmartScreen exploitée pour distribuer le malware Phemedrone !
Phemedrone, c'est le nom d'un nouveau logiciel malveillant de type "infostealer" qui exploite une faille de sécurité présente dans la fonction SmartScreen de Windows. Voici ce que l'on sait sur cette menace !
CVE-2023-36025
À l'occasion du Patch Tuesday de novembre 2023, Microsoft avait corrigé la faille de sécurité CVE-2023-36025 présentée alors comme une zero-day déjà connue et exploitée par les pirates avant même la sortie du correctif de sécurité. Elle permet à un attaquant de contourner les contrôles de sécurité de SmartScreen.
D'ailleurs, nous avions mis en ligne un article pour évoquer les dangers associés à cette vulnérabilité :
Pour parvenir à exploiter cette faille, le cybercriminel doit convaincre l'utilisateur de cliquer sur un raccourci Internet (.URL) malveillant ou sur un lien pointant vers le raccourci en question. Nous pouvons imaginer la distribution d'un raccourci malveillant à l'aide de sites web compromis ou de campagnes de phishing !
Pour rappel, cette faille de sécurité affecte toutes les versions de Windows et Windows Server à partir de Windows 7 et Windows Server 2008, et jusqu'aux plus récentes.
La menace Phemedrone
Une étude publiée par les chercheurs en sécurité de chez Trend Micro évoque une nouvelle campagne de cyberattaques qui visent à déployer le malware Phemedrone. Il s'agit d'un malware appartenant à la catégorie des voleurs d'informations, ou infostealer. Pour tenter de faire de nouvelles victimes, les cybercriminels diffusent des fichiers ".url" malveillants et permettant d'exploiter la faille de sécurité CVE-2023-36025 : l'avertissement SmartScreen ne s'affiche pas, ce qui permet de charger directement la charge utile si l'utilisateur ouvre le fichier.
Une fois qu'il a infecté une machine, il collecte les données stockées dans les navigateurs web, les portefeuilles de cryptomonnaies et certains logiciels tels que Discord, Steam et Telegram. Trend Micro précise que le malware cible les applications et données suivantes :
- Les navigateurs basés sur Chromium (Google Chrome, Microsoft Edge, etc.) pour voler les mots de passe, les cookies et les informations de remplissage automatique (auto-fill) à partir d'applications telles que LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile et Microsoft Authenticator, pour n'en citer que quelques-unes.
- Les navigateurs basés sur Gecko (Mozilla Firefox, par exemple) pour voler les données des utilisateurs
- Les portefeuilles de cryptomonnaie tels que Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum, Exodus et Guarda.
- Discord pour voler les jetons d'authentification, ce qui permet un accès non autorisé au compte de l'utilisateur.
- FileGrabber est utilisé par le malware pour collecter les fichiers de l'utilisateur à partir de dossiers spécifiques, dont Documents et Bureau.
- FileZilla pour voler les identifiants enregistrés dans cette application utilisée principalement pour les connexions FTP
- Informations sur le système : caractéristiques du matériel, géolocalisation et des informations sur le système d'exploitation, et le malware en profite pour réaliser des captures d'écran.
- Steam pour voler des informations relatives à cette plateforme de jeu
- Telegram pour extraire des données de l'utilisateur à partir du répertoire d'installation, notamment dans le dossier "tdata".
Ces données sont ensuite envoyées sur un espace de stockage contrôlé par les cybercriminels.
Enfin, sachez que Trend Micro précise que Phemedrone n'est pas le seul malware à tirer profit de cette vulnérabilité ! Dans certains cas, ce sont des gangs de ransomware qui ont exploités cette vulnérabilité dans le cadre de leur attaque.
