A empresa de segurança Trend Micro detalhou um novo malware para Windows que rouba dados pessoais da vítima. Essa ameaça, que nunca havia sido detectada antes, é considerada grave e consegue até burlar até o Defender, que é a plataforma de segurança da Microsoft.
Chamada de Phemedrone Stealer, a ameaça explora a falha CVE-2023-36025 do Windows Defender SmartScreen. Esse bug na verificação de arquivos no formato URL permite que cibercriminosos consigam enviar documentos infectados que são executados pelo sistema e "ativam" o golpe.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
- Leia também: Como evitar fraudes em vaquinhas solidárias online?
A Microsoft já enviou uma atualização de segurança para a falha no dia 14 de novembro de 2023. Entretanto, como aponta a Trend Micro, invasores seguem tentando infectar dispositivos que seguem vulneráveis. Além disso, é possível que variantes que explorem falhas parecidas surjam em breve, baseado no malware original.
Isso significa que é altamente recomendável a todos os usuários que atualizem o sistema operacional caso utilizem as atuais versões suportadas do Windows ou verifiquem se estão no firmware mais recente.
Como funciona o Phemedrone Stealer
A infecção do malware começa com a vítima recebendo o link para o arquivo. Nas atuais campanhas, esses atalhos são enviados via Discord, redes sociais ou outros serviços de download de arquivos na nuvem, como o FileTransfer.io. Eles podem ser disfarçados também por encurtadores de endereços, como o Bit.ly.
O caminho da infecção ao roubo de dados.Fonte: Trend Micro
Quando o usuário faz o download do arquivo, todo o processo de baixar um loader contendo os arquivos do malware é iniciado. O Windows Defender SmartScreen não o vê como uma ameaça porque um atalho é criado para "burlar" essa proteção e fazer parece que ele é um documento inocente.
Já dentro da máquina, o malware é capaz de roubar informações sensíveis como senhas e cookies de autenticação, além de tirar capturas de tela para roubar conteúdos sigilosos. Tudo é então enviado via um servidor no Telegram aos cibercriminosos, que podem usar esses dados para outros golpes.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Fontes
Categorias
