Користувачів попередили про вірус який краде паролі та секретні дані у користувачів Windows

Виявлено вірус Pheme­drone Steal­er, який краде зі скомпрометованих пристроїв конфіденційні дані, у тому числі паролі та cook­ie-файли автентифікації — вони відправляються оператору шкідливості. Детальніше про це повідомили експерти з кібербезпеки Trend Micro.

Вірус здійснює пошук конфіденційної інформації, яка зберігається у веб-браузерах, криптовалютних гаманцях та клієнтах систем обміну повідомленнями, таких як Telegram, Steam та Dis­cord. Він робить знімки екрана і краде дані про обладнання, місцеперебування та операційну систему. Викрадена інформація передається на керуючий сервер або йде через Telegram.

Pheme­drone Steal­er експлуатує вразливість фільтра SmartScreen “Захисника Win­dows” — вона відстежується під номером CVE-2023–36025 і має рейтинг 8.8 бала з 10. Щоб скористатися цією вразливістю, зловмиснику потрібно створити файл URL і змусити жертву відкрити його. Microsoft виправила вразливість у листопаді 2023 року, але хакери продовжують шукати системи, які не отримали відповідного оновлення.

«Увагу громадськості привернули демо-версії, що розповсюдилися в соцмережах, і код перевірки концепції, що докладно описують експлуатацію CVE-2023–36025. З того часу, коли подробиці про вразливість стали відомі, почала зростати кількість шкідливих кампаній, що розповсюджують корисне навантаження Pheme­drone Steal­er, які включили цю вразливість у свої ланцюжки атак», — пояснили в Trend Micro.