Phemedrone Stealer se dirige a varios navegadores y aplicaciones, incluyendo navegadores basados en Chromium, gestores de contraseñas como LastPass, KeePass, NordPass y aplicaciones de autenticación como Google Authenticator, Duo Mobile y Microsoft Authenticator. Roba información sensible y puede ser utilizado para iniciar sesión en las cuentas en línea de las víctimas, apuntando a carteras de criptomonedas, aplicaciones de mensajería como Discord y Telegram, y detalles de inicio de sesión para la plataforma de juegos Steam. El malware también recopila telemetría, incluyendo especificaciones de hardware, datos de geolocalización e información del sistema operativo, y la envía a los atacantes.
Las víctimas se infectan al descargar y abrir un archivo .url malicioso, que explota CVE-2023-36025 para evadir Windows SmartScreen. El archivo .url descarga y abre un archivo .cpl, un elemento del panel de control de Windows, llevando a la infección sin advertencias de SmartScreen. El archivo .cpl es un .dll, que se ejecuta al abrirse, y actúa como un cargador llamando a PowerShell para ejecutar la siguiente etapa del ataque.
El malware utiliza técnicas de ofuscación para enmascarar sus contenidos y evadir la detección. Tras su ejecución, Phemedrone Stealer descifra detalles para acceder a la API de Telegram y comienza a exfiltrar información de la víctima.
Source: PhoneWorld
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.