Операторы трояна Phemedrone эксплуатируют баг обхода Windows SmartScreen

Екатерина Быстрова 16 Января 2024 - 12:33

Домашние пользователи

...

Заточенный под кражу данных вредонос Phemedrone был замечен в новой кампании. Чтобы установить троян в систему жертвы, злоумышленники эксплуатируют уязвимость в Microsoft Defender SmartScreen (CVE-2023-36025).

Phemedrone — опенсорсный инфостилер, собирающий данные жертвы из веб-браузеров, криптокошельков, а также мессенджеров Discord, Telegram и клиента Steam.

Собранная информация отправляется в руки операторов Phemedrone и впоследствии используется для продажи другим злоумышленникам или развития собственных атак.

Уязвимость CVE-2023-36025, фигурирующая в кампании Phemedrone, позволяет обойти защитную функцию SmartScreen. В ноябре в общей доступ выложили соответствующий эксплойт.

С выходом ноябрьского набора патчей Microsoft устранила CVE-2023-36025 вместе с другими пятью уязвимостями нулевого дня.

В отчёте Trend Micro специалисты отмечают, что упомянутую брешь используют не только операторы Phemedrone. CVE-2023-36025 была замечена и в атаках программ-вымогателей.

При запуске в системе Phemedrone расшифровывает необходимые компоненты, получает конфигурацию и начинает сбор данных из определённых приложений. Для передачи сведений используется Telegram.

Атакуется следующий софт:

Chromium-браузеры (сохранённые пароли, cookies и автозаполнение);
Gecko-браузеры;
Криптокошельки (Atom, Armory, Electrum и Exodus);
Discord (извлекаются токены аутентификации);
FileGrabber (собираются данные из директорий «Рабочий стол» и «Документы»);
FileZilla (учётные данные от FTP-аккаунтов);
Steam;
Telegram (извлекаются данные из папки «tdata»).

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 06 Ноября 2025 - 19:08

Система контроля действий поставщиков ИТ-услуг (СКДПУ НТ) Корпорации Контроль привилегированных пользователей (PAM) АйТи БАСТИОН

СКДПУ НТ 2.3.3 получила менеджер паролей и новые функции кастомизации

Компания «АйТи Бастион» представила новую версию своей PAM-системы СКДПУ НТ 2.3.3. Обновление включает встроенный менеджер паролей «Персональные сейфы» и расширенные возможности кастомизации интерфейса через подсистему Портал доступа.

Новый модуль «Персональные сейфы» позволяет централизованно хранить пароли, ключи и сертификаты, контролировать сроки их действия и качество, а также безопасно делиться доступами между сотрудниками и командами.

В систему встроен генератор надёжных паролей, а управление осуществляется через единый интерфейс, что упрощает администрирование.

В обновлении также реализована возможность запускать несколько экземпляров Портала доступа с разными пользовательскими настройками на одном узле системы.

Это позволяет компаниям гибко адаптировать интерфейс под свои задачи и экономить вычислительные ресурсы. Пользователь теперь может работать с тем экземпляром портала, который связан с нужным ему сегментом сети.

Кроме того, добавлен просмотр списка всех узлов СКДПУ НТ через интерфейс головного узла, что делает администрирование более прозрачным.

Разработчики также улучшили поддержку подключений по ярлыку APP и внесли ряд изменений, направленных на повышение стабильности и удобства работы.

Обновление, по сути, делает систему более гибкой и управляемой, облегчая работу администраторов в сложных и распределённых инфраструктурах.