Groźne oprogramowanie atakuje Windowsa

\"\"

Chociaż wielcy technologiczni giganci wydają bardzo duże środki na inwestycję w coraz to nowsze i lepsze zabezpieczenia swoich systemów operacyjnych. Cyberprzestępcy nie śpią, cały czas się szkolą i tworzą swoje systemy czy oprogramowania, by wykraść nasze dane. Teraz ich celem jest Windows.

Ciągłe ataki

Dzisiaj każdy z nas ciągle prowadzi walkę z cyberatakami. Jednak to niestety nie jest równy pojedynek. W dobie coraz lepszych zabezpieczeń dochodzi do wielu ataków hakerskich. Skoro technologiczni giganci sobie nie radzą, to jak zwykły użytkownik Facebooka czy Windowsa może z nimi wygrać? Musimy stale być czujni, gdyż nie brakuje ataków czy oszustów w sieci. Takie kradzieże danych dzieją się na każdym kroku. Szukamy pracy, wyślemy swoje CV, ktoś powie załóż konto w banku, bo tak wygodniej nam się rozliczać z pracownikiem. Cała masa ludzi w to uwierzy. Potem płacz, procesy i nieufność do kogokolwiek.

Groźne oprogramowanie

Tym razem poznajemy złośliwe oprogramowanie o nazwie Phemedrone Stealer. Zostało odkryte niedawno w systemie Windows, przez naukowców z firmy Trend Micro. Nieznane do tej pory malware wykorzystywało lukę w systemach Windows Defender SmartScreen CVE-2023-36025. Na szczęście mówimy tutaj o czasie przeszłym, gdyż udało się ją załamać. Istnieje taki mechanizm, w którym mówi się o tego typu atakach na szeroką skalę dopiero wtedy, gdy problem zostanie rozwiązany. Niemniej jednak warto poznać mechanizmy i sposoby, jak dochodzi do tego typu ataków.

Proces ataku

W tym przypadku mówimy tutaj o malware, którego wektorem ataku są pliki .url.  Pobierają one i wykonują złośliwe skrypty ignorując przy tym filtr Windows Defender SmartScreen. Przez co użytkownik podczas otwierania pliku, nie zobaczy ostrzeżenia SmartScreen. Taki typu plik może bardzo zaszkodzić naszemu komputerowi. Gdy złośliwe oprogramowanie dostanie się do naszego sprzętu elektronicznego. Następnie jest instalowane na nasz komputer. Potem wyszukuje ono określone pliki czy informacje ze sprzętu określonego użytkownika. „W kolejnym kroku wysyła je do hakerów za pośrednictwem API Telegramu. W pierwszej kolejności wysyłane są informacje o systemie, a następnie skompresowany plik ZIP zawierający wszystkie zebrane dane”.

Co kradnie oprogramowanie?

Zakres działań tego złośliwego oprogramowania jest naprawdę ogromny. Trend Micro wyszczególnił następujące działania:

  • Przeglądarki oparte na Chromie: malware zbiera dane, w tym hasła, pliki cookie i informacje autouzupełnienia, przechowywane w aplikacjach takich jak LastPass, KeePass, NordPass, Google Authentication, Duo Mobile i Microsoft Authentication.
  • Portale kryptowalutowe: wyodrębnia pliki z różnych aplikacji portfeli kryptowalut tak jak Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum. Exodus, Guarda.
  • Discord: oprogramowanie pobiera tokeny uwierzytelniające z aplikacji Discord, co umożliwia wejście na konto użytkownika.
  • FileGrabber: te złośliwe oprogramowanie korzysta z tej usługi, by gromadzić pliki użytkownika z wyznaczonych folderów, takich jak dokumenty.
  • FileZilla: Phemedrone przechwytuje szczegóły połączenia FTP i dane uwierzytelniające.
  • Gekon: malware atakuje przeglądarki oparte na Gecko w celu usunięcia danych użytkowników (najpopularniejszym z nich jest Firefox).
  • Informacje o systemie: oprogramowanie zawiera szczegółowe informacje o systemie, o specyfice sprzętu, jego położenia, informacje o systemie operacyjnym, także sam wykonuje rzuty ekranu.
  • Stream: Phemedrone ma dostęp do plików związanych z platformą Stream.
  • Telegram: malware wyodrębnia dane użytkownika z katalogu instalacyjnego, szczególnie atakuje pliki związane z uwierzytelnieniem w folderze. Obejmuje to wyszukanie na podstawie ich wielkości i nazwach.

Na szczęście wyżej wspomniana luka została już złamana. Doszło do niej w aktualizacji z 14 listopada poprzedniego roku. Więc każdy użytkownik Windowsa powinien mieć ją na swoim sprzęcie. Jednak musimy być ostrożni, gdyż ciągle dochodzi do przejmowania naszych danych. Ochrona sprzętu oraz chronienie informacji z naszych komputerów jest bardzo ważna, dlatego też trzeba pamiętać, by na bieżąco instalować odpowiednie aktualizacje zabezpieczeń. Warto też wstrzymać się przed instalowaniem plików z nieznanych źródeł. Takie działania dadzą nam większe bezpieczeństwo.

Autor: Patrycja Żero

Fot. Canva

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *