Alerte Sécurité : Mettez à Jour Votre Windows Maintenant
Au cours d’une récente analyse des menaces, Trend Micro a découvert une exploitation préoccupante de CVE-2023-36025 par la campagne Phemadrone Stealer, mettant en lumière la vulnérabilité de contournement de Windows Defender SmartScreen. Ce blog explore les subtilités de cette exploitation, dévoilant les tactiques d’évasion utilisées par Phemadrone Stealer et disséquant la charge utile du malware.
Exploitation Révélée
Lors de recherches routinières sur les menaces, Trend Micro a découvert une exploitation active de CVE-2023-36025, entraînant l’infection des utilisateurs par une variante inconnue du malware Phemadrone Stealer. Ce malware cible spécifiquement les navigateurs Web, les portefeuilles de cryptomonnaie et les applications de messagerie telles que Telegram, Steam et Discord. De plus, il exfiltre des informations système, prend des captures d’écran et transmet les données volées aux attaquants via Telegram ou un serveur de commande et de contrôle.
Le Talon d’Achille : CVE-2023-36025
CVE-2023-36025 exploite une vulnérabilité dans Windows Defender SmartScreen de Microsoft, résultant de vérifications insuffisantes sur les fichiers de raccourci Internet (.url). Les acteurs malveillants exploitent cette faille pour créer des fichiers .url qui téléchargent et exécutent des scripts, contournant les avertissements de SmartScreen. Bien que Microsoft ait corrigé cette vulnérabilité le 14 novembre 2023, son exploitation active a conduit la Cybersecurity and Infrastructure Security Agency (CISA) à l’inclure dans la liste des vulnérabilités exploitées connues (KEV).
Accès Initial via des URLs malveillantes
L’analyse se concentre sur une version modifiée utilisée dans l’attaque examinée. Pour amorcer l’infection par Phemadrone Stealer, les attaquants hébergent des fichiers de raccourci Internet malveillants sur des plates-formes telles que Discord ou FileTransfer.io, souvent dissimulés à l’aide de raccourcisseurs d’URL. Les utilisateurs peu méfiants peuvent alors ouvrir ces fichiers .url malveillants, déclenchant l’exploitation de CVE-2023-36025.
Évasion de la Défense Exploitant CVE-2023-36025
Une fois le fichier .url malveillant exécuté, il se connecte à un serveur contrôlé par l’attaquant pour télécharger et exécuter un fichier d’élément du panneau de configuration (.cpl). Exploitant la protection de SmartScreen, les attaquants utilisent un fichier de raccourci Windows (.url) avec une charge utile .cpl, en utilisant la technique MITRE ATT&CK T1218.002. Le fichier .cpl agit comme un chargeur, utilisant PowerShell pour télécharger la prochaine étape de l’attaque hébergée sur GitHub.
Tactiques de Persistance et Chargement de DLL
Le fichier wer.dll est un composant crucial de la fonctionnalité du chargeur, car il déchiffre et exécute le chargeur de la deuxième étape et assure la persistance en créant des tâches planifiées que nous détaillerons ici. Le malware utilise plusieurs techniques pour échapper à la détection et compliquer l’ingénierie inverse, telles que le hachage d’API et le chiffrement de chaînes. De plus, cette DLL est empaquetée et protégée par VMProtect.
Le chargeur est exécuté en utilisant la technique de chargement de DLL, où l’attaquant falsifie un fichier DLL malveillant dans le répertoire de l’application. Cela trompe le système d’exploitation en chargeant le fichier malveillant au lieu du fichier légitime. Dans le cas examiné, WerFaultSecure.exe exécute la fonction WerpSetExitListeners de wer.dll, déclenchant l’exécution du chargeur.
Défense Evasion de Deuxième Étape
L’attaquant a utilisé un chargeur de deuxième étape appelé Donut, un shellcode open-source permettant l’exécution de fichiers VBScript, JScript, EXE, DLL et assemblies .NET en mémoire. Pour l’exécution de la charge utile finale, Donut est configuré pour utiliser l’API Unmanaged CLR Hosting, chargeant ainsi le Common Language Runtime (CLR). Une fois le CLR chargé avec succès dans le processus hôte, un nouveau domaine d’application est créé pour permettre l’exécution d’assemblies dans des domaines d’application éphémères.
La persistance des acteurs de menace dans l’exploitation de CVE-2023-36025 souligne la nécessité pour les organisations de rester vigilantes. Les mises à jour régulières des installations de Microsoft Windows sont cruciales pour prévenir le contournement de SmartScreen. Des technologies telles que Trend Vision One offrent une protection complète contre les cybermenaces en constante évolution, fournissant une surveillance continue, une prévention, une détection et une réponse soutenues par l’IA et une intelligence avancée sur les menaces.
.
Source: Trendmicro
