Phemedrone Stealer нацелен на различные браузеры и приложения, включая браузеры на основе Chromium, менеджеры паролей, такие как LastPass, KeePass, NordPass, и приложения аутентификации, такие как Google Authenticator, Duo Mobile и Microsoft Authenticator. Он крадет чувствительную информацию и может использоваться для входа в онлайн-аккаунты жертв, нацеливаясь на криптовалютные кошельки, приложения для обмена сообщениями, такие как Discord и Telegram, и данные для входа на игровую платформу Steam. Вредоносная программа также собирает телеметрию, включая характеристики аппаратного обеспечения, данные геолокации и информацию об операционной системе, и отправляет ее злоумышленникам.
Жертвы заражаются, скачивая и открывая вредоносный файл .url, который эксплуатирует CVE-2023-36025, чтобы обойти Windows SmartScreen. Файл .url загружает и открывает файл .cpl, элемент панели управления Windows, что приводит к заражению без предупреждений SmartScreen. Файл .cpl представляет собой .dll, который запускается при открытии и действует как загрузчик, вызывающий PowerShell для выполнения следующего этапа атаки.
Вредоносная программа использует методы обфускации для маскировки своего содержимого и уклонения от обнаружения. После выполнения Phemedrone Stealer расшифровывает детали для доступа к API Telegram и начинает эксфильтрацию информации жертвы.
Source: PhoneWorld
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.