Phemedrone-Infostealer umgeht Windows Defender Smartscreeen-Filter
Trend Micro hat den Phemedrone-Infostealer analysiert. Der schaffte es durch eine Lücke im Windows Defender Smartscreen-Filter auf Rechner.
(Bild: Balefire / Shutterstock.com)
Phemedrone – so nennt Trend Micro einen Infostealer, der eine Schwachstelle in Microsofts Windows Defender Smartscreen-Filter missbraucht, um der Erkennung zu entgehen. Microsoft hat die Lücke am November-Patchday abgedichtet, als sie bereits von anderen Malware-Familien missbraucht wurde. Allerdings fänden Cyberkriminelle neue Wege zum Ausnutzen der Sicherheitslücke.
Die groben Eigenschaften von Phemedrone sind rasch zusammengefasst: Der Infostealer hat es auf Daten aus Webbrowsern abgesehen, auf Krypto-Wallets und Messaging-Apps wie Telegram, Steam und Discord. Er legt Screenshots an und sammelt Systeminformationen bezüglich der Hardware, des Ortes und Details zum Betriebssystem. Die erbeuteten Daten schickt die Malware ihren Drahtziehern entweder mittels Telegram oder deren Command-and-Control-Server. Es handelt sich um einen Open-Source-Infostealer, dessen Quelltext (in C#) auf Github und Telegram gepflegt wird.
Missbrauchte Sicherheitslücke
Bei der Schwachstelle in Microsofts Smartscreen-Filter handelt es sich um fehlende Prüfungen und Rückfragen auf Internet-Verknüpfungen in Form von .url-Dateien. Mit einer manipulierten .url-Datei können Angreifer bösartige Skripte herunterladen und ausführen und die Warnungen und Überprüfungen durch Smartscreen umgehen. Potenzielle Opfer müssen die Datei aber noch anklicken. Am November-Patchday hat Microsoft ein Update zum Schließen der Lücke veröffentlicht (CVE-2023-36025, CVSS 8.8, Risiko "hoch").
Microsoft meldete den bereits aktiven Missbrauch der Schwachstelle, auch die US-amerikanische Cybersicherheitsbehörde CISA hat sie in den Katalog der Known Exploited Vulnerabilitites aufgenommen. Die Schwachstelle hat Einzug in die Exploit-Werkzeugkisten von Cyberkriminellen gehalten, eine wachsende Zahl an Malware-Kampagnen versuchen, sie auszunutzen, ähnlich wie Phemedrone. In der Beschreibung gehen die Virenanalysten von Trend Micro weiter in die Tiefe, wo die Malware gehostet wurde, wie die weitere Infektion abläuft und was die Malware alles anstellt.
So lädt die bösartige URL-Datei, die den Smartscreen-Filter umgehen kann, eine Controlpanel-Datei (.cpl) herunter, die im Wesentlichen umbenannte DLL-Bibliotheken sind. Sie können mit rundll32.exe gestartet werden. Das startet einen Download mittels Powershell der nächsten Malware-Stufe, die auf Github liegt. Das ist abermals ein Powershell-Loader. Weitere Zwischenschritte erläutert die Analyse der Trend-Micro-Mitarbeiter, an deren Ende dann die Phemedrone-Malware persistent im System verankert wird.
Patches installieren
Organisationen sollten sicherstellen, dass die verfügbaren Patches von Microsoft auch installiert wurden. Da Proof-of-Concept-Exploitcode im Netz verfügbar ist, steigt das Risiko insbesondere für Einrichtungen, bei denen die Updates fehlen.
Die Virenanalytiker schließen mit der Bemerkung, dass bösartige Akteure trotz des Patches für die Sicherheitslücke CVE-2023-36025 weiterhin Wege finden, den Smartscreen-Schutz des Microsoft Defender zu umgehen – und damit Opfer mit unterschiedlichen Malware-Varianten infizieren, etwa mit Ransomware oder Infostealern wie Phemedrone. Derzeit ist unklar, ob das heißt, dass das Update vom Microsoft-Patchday unzureichend ist. Eine Antwort auf eine diesbezügliche Anfrage bei Trend Micro steht zum Meldungszeitpunkt noch aus.
Gegenüber heise online erklärten die Autoren der Analyse, dass der Schluss ein Aufruf zum Anwenden des Updates sein soll. Sie meinen damit, dass trotz eines verfügbaren Patches Angreifer noch verwundbare Systeme vorfinden, da der nicht installiert wurde.
(dmk)
