Windows bilgisayarlar Defender’ı bile atlatabilen yeni ve tehlikeli bir tehdidin hedefinde

Uzmanlar, Windows bilgisayarların Defender antivirüs çözümünün etrafından dolaşabilen yeni bir tehditle hedef alındığı konusunda uyardı.

Siber güvenlik araştırmacıları Trend Micro’nun yeni raporuna göre, Phemedrone Stealer olarak adlandırılan zararlı yazılım, ele geçirilen cihazdan parolalar ve kimlik doğrulama çerezleri gibi hassas verileri çalıyor ve saldırganlara sızdırıyor.

Rapora göre, kötü amaçlı yazılım web tarayıcılarında, kripto para cüzdanlarında ve Telegram, Steam ve Discord gibi mesajlaşma platformlarında depolanan hassas bilgileri arıyor. Ayrıca ekran görüntüsü alabiliyor ve donanım, konum ve işletim sistemi ile ilgili verileri çekebiliyor. Çalınan bilgiler daha sonra Telegram veya komuta ve kontrol (C&C) sunucusu aracılığıyla saldırganlara sunulur.

Bir yama mevcuttur

Kötü amaçlı yazılım, yakın zamanda Microsoft Windows Defender SmartScreen’de keşfedilen bir güvenlik açığından yararlanmaktadır. Bu açık CVE-2023-36025 olarak izlenmekte ve 8.8/10 güvenlik açığı puanı taşımaktadır. Windows SmartScreen güvenlik özelliği atlama açığı olarak tanımlanan bu kusur, tehdit aktörlerinin Defender Smartscreen kontrolleri ve ilgili istemler etrafında çalışmasına olanak tanır. Açığı kötüye kullanmak için saldırganın özel bir İnternet Kısayolu (.URL) veya bir kısayolu işaret eden bir köprü oluşturması ve kurbanın bununla etkileşime girmesini sağlaması gerekir.

Microsoft bu açığı Kasım 2023’ün ortalarında yamalamıştır, ancak bilgisayar korsanları hala yamalanmamış savunmasız cihazlar aramaktadır, bu nedenle düzeltmenin uygulanması şiddetle tavsiye edilir. Aslında, vahşi kullanımın kanıtı, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) kusuru Bilinen İstismar Edilen Güvenlik Açıkları (KEV) listesine eklemesine neden oldu.

Trend Micro yazısında, “CVE-2023-36025’in istismarını detaylandıran çeşitli demoların ve kavram kanıtı kodlarının sosyal medyada dolaştığı kamuoyunun dikkatini çekti” dedi.

“Bu güvenlik açığının ayrıntıları ilk ortaya çıktığından bu yana, biri Phemedrone Stealer yükünü dağıtan ve giderek artan sayıda kötü amaçlı yazılım kampanyası bu güvenlik açığını saldırı zincirlerine dahil etti.”