Malware misbruikt SmartScreen-lek en steelt data uit wachtwoordmanagers
Criminelen maken misbruik van een kwetsbaarheid in Windows SmartScreen om malware te installeren die allerlei informatie uit wachtwoordmanagers en authenticators steelt, alsmede cryptowallets en andere programma's. Dat laat antivirusbedrijf Trend Micro weten. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet.
Via de kwetsbaarheid (CVE-2023-36025) is het mogelijk om ervoor te zorgen dat er geen waarschuwingen worden getoond. Microsoft kwam afgelopen november met beveiligingsupdates voor het probleem, dat toen al bij zeroday-aanvallen werd misbruikt. Nu wordt de kwetsbaarheid ook gebruikt door criminelen achter de Phemedrone Stealer, malware speciaal ontwikkeld voor het stelen van allerlei informatie van besmette systemen.
Bij de aanvallen maken de aanvallers gebruik van malafide .url-bestanden. Zodra gebruikers daarop klikken wordt een malafide .cpl-bestand gedownload. Normaliter zou Windows SmartScreen waarschuwen voordat malafide bestanden van een onbetrouwbare bron worden uitgevoerd, maar door misbruik van CVE-2023-36025 te maken wordt deze waarschuwing niet getoond en het malafide cpl-bestand uitgevoerd. Dit bestand zorgt uiteindelijk voor het downloaden van de Phemedrone Stealer.
De malware steelt wachtwoorden, cookies en autofill-informatie uit apps zoals LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile en Microsoft Authenticator, alsmede allerlei cryptowallets. Ook worden authenticatie-tokens uit de Discord-app gestolen om zo toegang tot het account van de gebruiker te krijgen. Tevens steelt de malware informatie uit de Steam-, Telegram- en FilleZill-accounts van de gebruiker en worden er allerlei bestanden uit specifieke locaties gestolen, zoals Mijn Documenten en Desktop. Organisaties die de update voor CVE-2023-36025 nog niet hebben geïnstalleerd worden door Trend Micro opgeroepen om dit alsnog te doen.
Er is niet geknoeid met die .URL bestanden; Ze hebben gewoon een link naar een control panel bestand.
Dat windows .cpl bestanden anders behandeld en ze probeert te openen zonder smart-screen waarschuwing is waar het daadwerkelijk fout gaat.
(MITRE: https://attack.mitre.org/techniques/T1218/002/)
Gelukkig gebruik ik geen password manager, want hier zie je dus dat ze een doelwit zijn voor malware.
Maar een .txt bestandje met wachtwoorden op de desktop zou ook zijn gestolen, dus dat is ook niet de oplossing.
Dan word die TPM chip toch wel wat interessanter...
Daarnaast gebruik ik Yubikeys als 2FA.
Ook heb ik een profiel voor het " naar buiten gaan" dus als mijn telefoon uit handen wordt gegrist zijn het uitsluitend onbelangrijke zaken waar men bij kan, geen accounts e.d.
Ieder profiel heeft een ander wachtwoord, en op het beveiligingsaccount gebruik ik geen biometrics om de telefoon te ontsluiten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
