Meglio conosciuto con il titolo di CVE-2023-36025, Phemedrone Stealer corrisponde a un trojan che è stato appositamente sviluppato per provvedere a scandagliare, in via del tutto malevola e segreta, i dati personali di tanti utenti, ignari di quello che accade.
Sono stati vari ricercatori che lavorano per Trend Micro a riconoscere un nuovissimo gruppo di malware, che è stato ribattezzato Phemedrone Stealer, che ha una caratteristica del tutto particolare. Stiamo facendo riferimento al fatto che questi malware sono in grado di utilizzare, in via attiva, una vulnerabilità che era presente all’interno di Windows Defender SmartScreen, ma che ora è stata risolta. Detto questo, sfruttando tale “buco”, ecco che tali malware sgusciavano all’interno dei vari device Windows per poter rubare ingenti quantità di dati sensibili.
Come funzionano questi malware? In poche parole, dopo essersi introdotti all’interno di tali device, ecco che sono in grado di rubare qualsiasi tipo di dato. Tra cookie, dati sensibili, ma anche token di autenticazione, piuttosto che tantissimi altri elementi e file che vengono memorizzati all’interno dei browser.
Phemedrone Stealer riesce a raccogliere e rubare pure le schermate, facendo una vera e propria raccolta, e precisa tra le altre cose, di metadati di sistema, compresi tutti quei dati che hanno ad oggetto la collocazione geografica dell’utente che subisce tale furto. Su Discord, giusto per fare un esempio, si può provvedere all’estrazione di token di autenticazione, rilasciando l’accesso a utenti che non sono stati autorizzati. Invece, sulla piattaforma di Steam questo malware è in grado di eseguire l’accesso ai vari file che sono memorizzati sul portale.
Tanti i servizi e le piattaforme che sono finite nel mirino di tali attacchi. Ad esempio, si può pensare a casi piuttosto recenti, come è successo con i portafogli digitali di criptovalute, come nel caso di Electrum e di Exodus. Tra le varie applicazioni che hanno subito ripetuti attacchi di questi malware troviamo Telegram, ma anche Filezille e tanti altri software. Tra gli altri, ci sono pure alcuni browser che utilizzano la tecnologia Geckko, come nel caso di Firefox. Inoltre, Phemedrone Stealer riesce a effettuare la compressione di tutti i dati che vengono rubati all’interno di un solo archivio zip, per poi inviarli chiaramente ai vari hacket sfruttando l’API di Telegram, in compagnia pure di tutti quei dati e quelle informazioni di sistema.
Va detto, però, che tale vettore di attacco, nello specifico, non dovrebbe più essere impiegato, dal momento che Microsoft è intervenuta per mettere una toppa a tale falla con l’aggiornamento di Windows Defender SmartScreen già a novembre 2023.