Neue Malware, die den Windows-SmartScreen umgeht, ist hungrig nach Ihren Daten - und zwar nach allen

Die Forscher von Trend Micro haben einen bisher unbekannten Malware-Stamm mit dem Namen Phemedrone Stealer entdeckt, der aktiv die bereits gepatchte Windows Defender SmartScreen-Schwachstelle CVE-2023-36025 ausnutzt, berichtet Security Week.

Bei Phemedrone Stealer handelt es sich um eine datenauslesende Malware, die sich auf eine Vielzahl spezifischer Dateitypen und Informationen in einer breiten Palette beliebter Softwareprodukte konzentriert - unter anderem Browser, Dateimanager und Kommunikationsplattformen.

Die Malware sammelt sogar umfangreiche Systemdetails (einschließlich Geolocation-Daten wie IP, Land, Stadt und Postleitzahl) über Windows 10 oder 11 und macht dabei Screenshots. Trend Micro listet insbesondere die folgenden Ziele auf:

• Chromium-basierte Browser. Die Malware sammelt Daten, einschließlich Passwörtern, Cookies und Autofill-Informationen, die unter anderem in Apps wie LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile und Microsoft Authenticator gespeichert sind.
• Krypto-Geldbörsen. Es extrahiert Dateien aus verschiedenen Kryptowährungs-Wallet-Anwendungen wie Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum, Exodus und Guarda.
• Diskord. Phemedrone extrahiert Authentifizierungs-Tokens aus der Discord-Anwendung und ermöglicht so unberechtigten Zugriff auf das Benutzerkonto.
• FileGrabber. Die Malware nutzt diesen Dienst, um Benutzerdateien aus bestimmten Ordnern wie Dokumente und Desktop zu sammeln.
• FileZilla. Phemedrone erfasst FTP-Verbindungsdetails und Anmeldeinformationen von FileZilla.
• Gecko. Die Malware zielt auf Gecko-basierte Browser ab, um Benutzerdaten zu extrahieren. (Firefox ist der beliebteste davon.)
• System-Informationen. Phemedrone sammelt umfangreiche Systemdetails, einschließlich Hardware-Spezifikationen, Geolocation- und Betriebssysteminformationen, und macht Screenshots.
• Dampf. Phemedrone greift auf Dateien im Zusammenhang mit der Spieleplattform Steam zu.
• Telegram. Die Malware extrahiert Benutzerdaten aus dem Installationsverzeichnis und zielt insbesondere auf authentifizierungsbezogene Dateien im Ordner "tdata" ab. Dazu gehört die Suche nach Dateien auf der Grundlage von Größe und Namensmustern.

Ein Angriffsvektor sind in diesem Fall präparierte .url-Dateien, die bösartige Skripte herunterladen und ausführen und dabei den Windows Defender SmartScreen umgehen. Daher sieht der Benutzer, der dazu verleitet wird, eine gefährliche Datei zu öffnen, keine SmartScreen-Warnung, die darauf hinweist, dass dieser Dateityp den Computer möglicherweise schädigen kann.

Sobald die bösartige Software der Erkennung entgeht, lädt sie die Nutzdaten herunter und etabliert sich dauerhaft im System.

Dann folgt die Suche nach bestimmten Dateien und Informationen. Die erbeuteten Daten werden über die API von Telegram, einer in einigen Ländern der Welt beliebten IM-Kommunikationsplattform, an die Hacker gesendet. Die Systeminformationen werden zuerst gesendet, gefolgt von einer komprimierten ZIP-Datei, die alle gesammelten Daten enthält.

Die gute Nachricht ist, dass Microsoft die Sicherheitslücke CVE-2023-36025 bereits am 14. November behoben hat. Die Einhaltung der notwendigen IT-Hygiene und die regelmäßige Anwendung der neuesten Sicherheits-Patches sollten Sie daher schützen - anders als bei vielen Zero-Day-Schwachstellen, die in der freien Wildbahn leben und noch nicht gezähmt wurden.

Quelle: Trend Micro via Security Week

Quelle: neowin.net

Wie deaktiviere ich SmartScreen?

Um SmartScreen in Windows 11 zu deaktivieren, können Sie den folgenden Prozess befolgen:

1. Klicken Sie auf das Startmenü in der Taskleiste und öffnen Sie die Einstellungen (das Zahnradsymbol).
2. Klicken Sie im Einstellungsfenster auf den Abschnitt "Apps".
3. Auf der linken Seite des Fensters finden Sie eine Rubrik namens "Apps und Features". Klicken Sie darauf.
4. Suchen Sie in der Liste der Apps und Features nach "Windows-Sicherheit" und klicken Sie darauf.
5. Nachdem Sie "Windows-Sicherheit" geöffnet haben, wählen Sie den Abschnitt "App- und Browsersteuerung" aus.
6. Innerhalb des Abschnitts "App- und Browsersteuerung" finden Sie die Option "Smartscreen für Apps und Dateien". Klicken Sie darauf, um weitere Einstellungen anzuzeigen.
7. Hier können Sie nun SmartScreen deaktivieren, indem Sie den Schalter auf "Aus" umstellen.
   

Nachdem Sie diesen Prozess abgeschlossen haben, ist SmartScreen in Windows 11 deaktiviert. Beachten Sie jedoch, dass das Deaktivieren von SmartScreen die Sicherheit Ihres Systems beeinträchtigen könnte, da es dazu dient, schädliche Apps und Dateien zu blockieren. Es wird empfohlen, es nur zu deaktivieren, wenn Sie mit anderen Sicherheitsmaßnahmen ausreichend geschützt sind und genau wissen, welche Apps und Dateien Sie öffnen.

 

[K.]

Also ein Chromium-basierter Browser erforderlich, Benutzerdummheit und bereits behoben. Hier gibt es nichts zu sehen, also gehe ich weiter...

 

[c.]

Chrom ist nicht Teil des Angriffsvektors. Chromium erschien erst auf der Liste der erfassten Daten, NACHDEM es bereits auf dem System ausgeführt wurde. Zu diesem Zeitpunkt ist Ihr Firefox-Browser nicht sicherer, der Virus scheint ihn einfach nicht anzugreifen.

Ja, das Risiko ist sehr gering. Im Grunde wird eine Scheinwarnung umgangen, ich bin froh, dass sie das Problem behoben haben, aber nicht das Ende der Welt. Für einen erfolgreichen Angriff ist es immer noch erforderlich, dass der Benutzer dazu verleitet wird, den Virus herunterzuladen und auszuführen.

 

[K.]

Sie haben Recht, aber allein meine beiden anderen Punkte machten es ohnehin zu einer Nicht-Geschichte.

 

[+.]

Die Moral der Geschichte lautet Update, Update, Update.

 

[z.]

Und ich hoffe, dass die Sicherheitsupdates im Gegensatz zum Sicherheitsupdate dieses Monats tatsächlich installiert werden.

 

[+.]

Ich hatte ein Problem bei der Installation des Updates dieses Monats auf meinem alten Couchcomputer, den ich alle paar Monate anschließe, um Updates durchzuführen. Schließlich habe ich ein direktes Upgrade durchgeführt und dann wurde das Update ohne Probleme installiert.

 

[K.]

Das wird denen, die Windows 7 nutzen, nicht helfen. LOL Ich habe in den letzten paar Monaten aus irgendeinem Grund einen leichten Anstieg der Posts auf Reddit von Leuten gesehen, die erwähnen, dass sie Windows 7 nutzen.

 

[z.]

Hatte dieses Problem auf allen drei meiner Windows 10-Computer. Ich habe das Update einfach ausgeblendet, da jemand tatsächlich die physische Kontrolle über den Computer haben muss, um etwas tun zu können.

 

[B.]

Der Betrieb eines Betriebssystems über EOL hinaus ist zunächst einmal eine Herausforderung. Wenn sie sich infizieren, liegt es an ihnen.