Phemedrone Stealer nhắm vào các trình duyệt và ứng dụng khác nhau, bao gồm các trình duyệt dựa trên Chromium, quản lý mật khẩu như LastPass, KeePass, NordPass và ứng dụng xác thực như Google Authenticator, Duo Mobile và Microsoft Authenticator. Nó đánh cắp thông tin nhạy cảm và có thể được sử dụng để đăng nhập vào tài khoản trực tuyến của nạn nhân, nhắm vào ví tiền điện tử, ứng dụng nhắn tin như Discord và Telegram, và thông tin đăng nhập cho nền tảng chơi game Steam. Malware cũng thu thập dữ liệu telemetria, bao gồm thông số kỹ thuật phần cứng, dữ liệu địa lý và thông tin hệ điều hành, và gửi nó cho kẻ tấn công.
Nạn nhân bị nhiễm bệnh bằng cách tải xuống và mở một tệp .url độc hại, lợi dụng CVE-2023-36025 để tránh Windows SmartScreen. Tệp .url tải xuống và mở một tệp .cpl, một mục của bảng điều khiển Windows, dẫn đến nhiễm bệnh mà không cần cảnh báo SmartScreen. Tệp .cpl là một tệp .dll, được thực thi khi mở, và đóng vai trò như một bộ tải gọi PowerShell để thực hiện giai đoạn tiếp theo của cuộc tấn công.
Malware sử dụng các kỹ thuật làm mờ để che giấu nội dung và tránh bị phát hiện. Khi thực thi, Phemedrone Stealer giải mã chi tiết để truy cập API Telegram và bắt đầu lấy thông tin của nạn nhân.
Source: PhoneWorld
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.