Phemedrone, il nuovo malware che aggira l'antivirus di Windows per rubare i dati degli utenti

Phemedrone, il nuovo malware che aggira l'antivirus di Windows per rubare i dati degli utenti

Ricercatori di sicurezza hanno scoperto un nuovo malware, soprannominato Phemedrone Stealer, in grado di bypassare Windows SmartScreen per rubare una grande varietà di dati sensibili dai dispositivi degli utenti. Il malware prende di mira browser, wallet di criptovalute, piattaforme di comunicazione e molto altro.

di pubblicata il , alle 12:01 nel canale Sicurezza
WindowsMicrosoftTrend Micro
 

I ricercatori di Trend Micro hanno individuato un nuovo ceppo di malware, denominato Phemedrone Stealer, che sfrutta attivamente una vulnerabilità (adesso corretta) in Windows Defender SmartScreen per infiltrarsi nei dispositivi Windows e rubare un'ampia gamma di dati sensibili.

Noto come CVE-2023-36025, Phemedrone Stealer è un trojan progettato per raccogliere segretamente i dati personali delle vittime. In base a quanto è possibile leggere su un nuovo articolo di Security Week, il malware si concentra in particolare su browser, wallet di criptovaluta, piattaforme di messaggistica istantanea e applicazioni di gestione file popolari.

Phemedrone Stealer, un malware (già risolto) che aggira SmartScreen e ruba i dati

Una volta ottenuto l'accesso al dispositivo, Phemedrone Stealer è in grado ad esempio di rubare password, cookie, token di autenticazione e altre informazioni critiche memorizzate nei browser basati su Chromium. Può anche acquisire schermate e raccogliere dettagliati metadati di sistema, inclusi dati sulla posizione geografica della vittima. Su Discord può ad esempio estrarre i token di autenticazione, abilitando l'accesso a utenti non autorizzati, mentre su Steam può accedere ai file della piattaforma.

Secondo Trend Micro, come vettore di attacco il malware può sfruttare file URL malevoli per diffondersi nel sistema ed eseguire payload dannosi senza attivare gli avvisi di sicurezza di Windows SmartScreen. Una volta ottenuto l'accesso iniziale, Phemedrone Stealer scarica il suo payload principale e si installa in modo permanente nel sistema per poi iniziare metodicamente a setacciare file e app in cerca di dati da rubare.

Fra i servizi coinvolti negli attacchi citiamo wallet di criptovalute come Exodus ed Electrum, mentre fra le app FileZilla, Telegram e vari altri programmi, fra cui anche i browser basati su Geckko (Firefox, ad esempio). Infine, comprime tutti i dati rubati in un archivo ZIP e li invia agli hacker attraverso l'API di Telegram, insieme alle informazioni di sistema.

La buona notizia è che questo vettore di attacco specifico non dovrebbe più funzionare. Microsoft ha risolto la vulnerabilità CVE-2023-36025 in Windows Defender SmartScreen già lo scorso novembre tramite una patch, quindi nella stragrande maggioranza dei sistemi aggiornati con le ultime patch di sicurezza il problema dovrebbe essere risolto.

I migliori sconti su Amazon oggi
-3%

Lenovo, Notebook Portatile, V15 G4 IRU, Display 15,6" Full HD, Intel Core i5-13420H, Ram 16 GB DDR4, 512 GB SSD NVMe, Win 11 Pro, Libre Office, Preconfigurato

429.90 419.00 Compra ora
-23%

Apple Watch SE (2ª gen.) GPS 40 mm Smartwatch con cassa in alluminio Galassia e Cinturino Sport Galassia - S/M. Tracker per il fitness e il sonno, app Battito, Rilevamento incidenti, display Retina

259.00 199.00 Compra ora
-23%

Lenovo, Notebook Portatile, Display 15,6" Full HD, Intel Core i5-13420H, Ram 24 GB DDR4, 1000 GB SSD NVMe, Pc Portatile Windows 11 Pro

499.00 Compra ora
6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Saturn17 Gennaio 2024, 12:09 #1
Originariamente inviato da: Redazione di Hardware Upgrade
Microsoft ha risolto la vulnerabilità CVE-2023-36025 in Windows Defender SmartScreen già lo scorso novembre tramite una patch, quindi nella stragrande maggioranza dei sistemi aggiornati con le ultime patch di sicurezza il problema dovrebbe essere risolto.


Meno male.
UtenteHD17 Gennaio 2024, 15:22 #2
Beh anche se l'ho attivo non mi son mai fidato troppo della sicurezza MS ed oltre a firewall ho antivirus a parte e programma di analisi traffico.
E si per fortuna che hanno risolto.
destroyer8517 Gennaio 2024, 15:55 #3
Deve essere una goduria da usare il tuo computer
UtenteHD17 Gennaio 2024, 17:03 #4
Un PC normale dopo averlo configurato bene, funziona come gli altri.
giuvahhh18 Gennaio 2024, 03:49 #5
top cyber security man
UtenteHD18 Gennaio 2024, 09:57 #6
Originariamente inviato da: Andreito_95
Sono veramente curioso di sapere quale antivirus...
Visto che da intenditore posso dirti che Windows Defender basta e avanza

Antivirus di terzi = spesa di soldi inutile + malware/spyware/spam software


Dal mio punto di vista Windows Defender non e' per nulla abbastanza anche perche' essendo preinstallato nell'SO e' normale che sia facilmente e spesso preso di mira e sfruttato, un po' come Edge o il vecchio IE, ecc..
Come Antivirus ne ho provati molti, quasi tutti, dopo consiglio di assemblatore/assistenza alle Societa' che conosco da oltre decennio, "360 Total Security Free", si quello creato da ex hacker Cinesi, provare per credere (bisogna attivate anche l'engine extra di scan), nel frattempo ho provato a disinstallarlo per vedere gli aggiornamenti di altri, quali Karspesky, AVG, Bitdefender, ecc.. per un motivo o l'altro negativo sono tornato a "360 Total Security free" (ha anche versione pro che non uso)
Vi pregherei di non dare sentenze senza prima aver provato quanto sia efficace, senza contare tutte le funzioni extra quali offline sanbox esplorabile (automatica se run da USB) e molto altro, e' molto puntiglioso e segnala anche quello che potrebbe avere strano comportamento di controllo ed altro, mi fermo che diventa lunga.. con zero spese.

Cmq questo e' sito di informatica ed hardware, avere un PC con firewall ecc.. penso sia il minimo per tutti, nulla di cosi' eccezionale..

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^