Phemedrone Stealer s’orienta a diversos navegadors i aplicacions, inclosos navegadors basats en Chromium, gestors de contrasenyes com LastPass, KeePass, NordPass i aplicacions d’autenticació com Google Authenticator, Duo Mobile i Microsoft Authenticator. Roba informació sensible i pot ser utilitzat per iniciar sessió en els comptes en línia de les víctimes, dirigint-se a carteres de criptomonedes, aplicacions de missatgeria com Discord i Telegram, i detalls d’inici de sessió per a la plataforma de jocs Steam. El malware també recull telemetria, incloent especificacions de maquinari, dades de geolocalització i informació del sistema operatiu, i les envia als atacants.
Les víctimes s’infecten en descarregar i obrir un arxiu .url maliciós, que explota CVE-2023-36025 per eludir Windows SmartScreen. L’arxiu .url descarrega i obre un arxiu .cpl, un element del panell de control de Windows, portant a la infecció sense advertències de SmartScreen. L’arxiu .cpl és un .dll, que s’executa en obrir-se, i actua com un carregador cridant PowerShell per executar l’etapa següent de l’atac.
El malware utilitza tècniques d’ofuscació per emmascarar els seus continguts i evitar la detecció. A l’execució, Phemedrone Stealer desxifra detalls per accedir a l’API de Telegram i comença a exfiltrar informació de la víctima.
Source: PhoneWorld
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.