لماذا نقوم بالتحديث… تستخدم البرامج الضارة لسارقة البيانات SmartScreen على أجهزة الكمبيوتر غير المتصلة التي تعمل بنظام Windows • السجل

يستغل المجرمون ثغرة تجاوز Windows Defender SmartScreen لإصابة أجهزة الكمبيوتر باستخدام Phemedrone Stealer، وهو نوع من البرامج الضارة التي تقوم بفحص الأجهزة بحثًا عن معلومات حساسة مثل كلمات المرور وملفات تعريف الارتباط ورموز المصادقة المميزة، سمها ما شئت.

البرامج الضارة استغلالية CVE-2023-36025اندمجت مايكروسوفت في نوفمبر. على وجه الخصوص، يمكن لـ Femetron والبرامج الضارة الأخرى تجاوز إجراءات الحماية في Windows ومساعدة المستخدمين على تجنب تشغيل التعليمات البرمجية الضارة. وبينما قدم ريدموند إصلاحًا، فقد حذر من أنه قد تم بالفعل اكتشاف الخطأ واستغلاله من قبل المجرمين.

وبعد وقت قصير من قيام مايكروسوفت بسد الثغرة، تم إجراء هندسة عكسية للتصحيح إثبات المفهوم استخدام. الآن بعد أن أصبح الجميع يعرف كيفية مهاجمة أجهزة الكمبيوتر باستخدام هذه الثغرة الأمنية، قم بتحديث أجهزة Windows لديك لإغلاق هذا الطريق إذا لم تكن قد قمت بذلك بالفعل.

وفي بحث نُشر اليوم، قام باحثو تريند مايكرو، بيتر جيرنيس، وعلي أكبر صحراوي، وسايمون زوكربراون، بالتفصيل سارق المعلومات فيميدرونبما في ذلك كيفية عمله، وكيفية استخدامه لـ CVE-2023-36025 لإصابة النظام، وكيفية اكتشاف وجوده على الشبكة.

تستهدف البرامج الضارة متصفحات وتطبيقات متعددة على أجهزة كمبيوتر الضحايا، وتستخرج المعلومات الحساسة من الملفات ذات الأهمية وترسل البيانات إلى المحتالين. تتضمن هذه الأهداف المتصفحات المستندة إلى Chromium وLastPass وKeePass وNordPass وGoogle Authenticator وDuo Mobile وMicrosoft Authenticator. يبحث Phemedrone عن كلمات المرور وملفات تعريف الارتباط ومعلومات الملء التلقائي؛ بمجرد وصول هذه البيانات إلى أيدي مشغلي البرامج الضارة، يمكن استخدامها لتسجيل الدخول إلى حسابات الضحايا عبر الإنترنت والتسبب في جميع أنواع الضرر والفوضى.

يسرق الكود الملفات وبيانات المستخدم الأخرى من العديد من محافظ العملات المشفرة وتطبيقات المراسلة بما في ذلك Discord وTelegram، بالإضافة إلى تفاصيل تسجيل الدخول لمنصة ألعاب Steam.

بالإضافة إلى ذلك، فهو يجمع مجموعة من القياسات عن بعد، بما في ذلك مواصفات الأجهزة وبيانات الموقع الجغرافي ومعلومات نظام التشغيل، ويلتقط لقطات شاشة، ويرسل المهاجمين كل هذا إلى Telegram أو خادم الأوامر والتحكم عن بعد.

يقوم الأوغاد بإصابة أجهزة الضحايا باستخدام Femetron عن طريق خداع الشخصيات لتنزيل وفتح ملف url. ضار من أحد مواقع الويب. يستغل هذا الملف CVE-2023-36025، الذي يتجاوز عنصر لوحة تحكم Windows عند تنزيل Windows SmartScreen وفتح ملف .cpl. لا تتاح لـ SmartScreen فرصة لتحذير المستخدم من أن الملف url. هو من مصدر غير موثوق به وأن ما يفعلونه خطير ويجب حظره. وبدلاً من ذلك، ستتأثر أجهزة الكمبيوتر الخاصة بهم نتيجة للخلل المستغل. كما قال فريق تريند:

يبدو أن ملف .cpl الذي تم استرداده بواسطة .url هو في الواقع ملف .dll، ويبدأ العمل عند فتح عنصر لوحة التحكم من خلال لوحة تحكم Windows. يعمل ملف .dll هذا كمحمل يستدعي PowerShell لتنفيذ المرحلة التالية من الهجوم الذي تم الحصول عليه من GitHub.

هذه المرحلة عبارة عن أداة تحميل PowerShell أخرى تسمى DATA3.txt والتي تقوم بتنزيل وفك ضغط ملف .zip المستضاف على GitHub. يتكون الأرشيف من ثلاثة أجزاء:

• WerFaultSecure.exe هو برنامج ثنائي شرعي للإبلاغ عن الأخطاء في Windows.
• Wer.dll هو برنامج ثنائي ضار يتم انحرافه عند تنفيذ WerFaultSecure.exe.
• Secure.pdf، وهو مُحمل ثانوي مشفر بـ RC4، والذي يقوم في النهاية بإحضار وتشغيل ثنائي Phemedrone Stealer على جهاز الكمبيوتر.

طوال العملية، تستخدم البرامج الضارة العديد من تقنيات التشويش لإخفاء محتوياتها وتجنب اكتشافها. يقوم Phemedrone Stealer، عند تنشيطه، بفك تشفير التفاصيل اللازمة للوصول إلى واجهة برمجة تطبيقات Telegram وإخراج معلومات الضحية.

لذا، مرة أخرى، إذا لم تقم بذلك في نوفمبر، فقد حان الوقت لتحديث تثبيتات Windows لديك أو المخاطرة بأن تصبح الضحية التالية لصوص البيانات هؤلاء. ®