Sebuah informasi menarik baru baru ini dirilis Trend Micro dimana mereka menemukan sebuah jenis malware yang dijuluki Phemedrone Stealer yang mana secara aktif mengeksploitasi Vulnerability Windows Defender SmartScreen CVE-2023-36025 yang beruntungnya saat ini sudah ditambal.
Menurut Trend Micro, Phemedrone Stealer ini adalah sebuah malware pemanen data / data harvesting yang berfokus pada berbagai jenis file dan informasi tertentu di berbagai produk perangkat lunak populer seperti browser, file manager, dan platform komunikasi.
Malware ini juga bahkan mengumpulkan detail sistem yang ekstensif termasuk data geolokasi seperti IP, Negara, Kota dan bahkan Kode Pos di Windows 10 dan Windows 11 yang mana malware ini juga akan mengambil screenshot dalam prosesnya. Trend Micro sendiri secara khusus mencantumkan beberapa target dari malware ini dimana itu mencakup :
- Browser berbasis Chromium. Malware ini mengumpulkan data, termasuk kata sandi, cookie, dan informasi pengisian otomatis yang disimpan di aplikasi seperti LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile, dan Microsoft Authenticator, dan lain-lain.
- Dompet kripto. Ini mengekstrak file dari berbagai aplikasi dompet cryptocurrency seperti Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum, Exodus, dan Guarda.
- Perselisihan. Phemedrone mengekstrak token autentikasi dari aplikasi Discord, memungkinkan akses tidak sah ke akun pengguna.
- Pengambil File. Malware menggunakan layanan ini untuk mengumpulkan file pengguna dari folder yang ditentukan seperti Dokumen dan Desktop.
- FileZilla. Phemedrone menangkap detail koneksi FTP dan kredensial dari FileZilla.
- Tokek. Malware tersebut menargetkan browser berbasis Gecko untuk ekstraksi data pengguna. (Firefox menjadi yang paling populer.)
- Sistem Informasi. Phemedrone mengumpulkan detail sistem yang ekstensif, termasuk spesifikasi perangkat keras, geolokasi, dan informasi sistem operasi, dan mengambil tangkapan layar.
- Uap. Phemedrone mengakses file yang terkait dengan platform game Steam.
- Telegram. Malware mengekstrak data pengguna dari direktori instalasi, secara khusus menargetkan file terkait otentikasi dalam folder “tdata”. Ini termasuk mencari file berdasarkan ukuran dan pola penamaan.
Secara umum, Vektor serangan dalam hal ini diwakili oleh file .url buatan yang akan mengunduh dan menjalankan skrip berbahaya, dimana itu akan melewati Windows Defender SmartScreen dalam prosesnya. Oleh karena itu, pengguna yang tertipu untuk membuka file berbahaya tidak akan melihat peringatan SmartScreen bahwa file jenis ini berpotensi membahayakan komputer.
Setelah perangkat lunak berbahaya menghindari deteksi, ia akan mengunduh paket lainnya dan mulai membangun suatu hal yang bersifat permanen di sistem. Setelah menginfeksi sistem, data yang dikumpulkan malware ini akan dikirim ke peretas melalui API Telegram dengan Informasi sistem dikirim terlebih dahulu, diikuti dengan file ZIP terkompresi yang berisi semua data yang dikumpulkan.
Kerentanan Telah Ditutup!
Kabar baiknya, Microsoft telah mengatasi kerentanan yang ditandai dengan CVE-2023-36025 pada tanggal 14 November 2023 lalu, dimana dengan itu para pengguna diharapkan untuk selalu memperbarui sistem mereka dengan update Windows yang tersedia setiap bulannya.
Via : Trend Micro, Neowin, Security Week
