Windows Defender SmartScreen Zafiyeti: Phemedrone Saldırısı

14 Kasım 2023 tarihinde kapatılan bir güvenlik açığı, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından Bilinen Sömürülen Açıklıklar (KEV) listesine eklendi; çünkü gerçek dünya saldırılarına dair kanıtlar bulunmaktaydı.

Vulnerability 14 Kasım 2023 tarihinde kapatıldı, ancak CISA, gerçek dünya saldırılarının kanıtları nedeniyle onu Bilinen Sömürülen Açıklıklar (KEV) listesine ekledi. Keşfinden bu yana, Phemedrone Stealer yükü dahil birçok kötü amaçlı yazılım kampanyası, saldırı zincirlerinde bunu kullanmıştır.

Trend Micro’daki siber güvenlik araştırmacıları, Microsoft Windows Defender SmartScreen’i etkileyen CVE-2023-36025 olarak takip edilen bir zafiyetin, Phemedrone Stealer ile kullanılarak kullanıcıları enfekte etmek için sömürüldüğünü tespit etti.

Bilgi için belirtmek gerekirse, Windows Defender SmartScreen, Microsoft Windows 8 ve sonraki sürümlerde bulunan, kullanıcıları kötü amaçlı web sitelerinden, indirmelerden ve uygulamalardan korumaya yardımcı olan yerleşik bir güvenlik özelliğidir. Farklı tehditlere karşı, phishing sitelerinden, kötü niyetli indirmelerden ve güvenilmeyen uygulamalardan koruma sağlar.

Bu açık kaynaklı kötü amaçlı yazılım türü, web tarayıcılarına, kripto cüzdanlarına ve Telegram, Steam ve Discord gibi mesajlaşma uygulamalarına hedeflenmiştir. Ek yetenekleri, kötü amaçlı yazılımın ekran görüntüleri almasına, donanım detayları ve konum verileri gibi sistem bilgilerini toplamasına ve çalınan veriyi saldırganlara Telegram veya C2 sunucusu aracılığıyla göndermesine olanak tanır. Phemedrone Stealer, GitHub ve Telegram üzerinden sürdürülmektedir.

Rapora göre, saldırganlar sosyal medyayı kullanarak zararlı Internet Shortcut dosyalarını yaymak için URL dosyalarını kullanırlar, bu dosyalar zararsız bağlantı kısayolları olarak görünür ve üzerlerine tıklanarak indirilir. Enfeksiyon süreci, saldırganın kötü amaçlı Internet Shortcut dosyalarını Discord veya FileTransfer.io gibi bulut hizmetlerinde barındırması ve shorturl.at gibi URL kısaltıcılarını kullanarak gizlemesiyle başlar. Dikkatsiz bir kullanıcı, CVE-2023-36025’i sömüren zararlı bir şekilde tasarlanmış .url dosyasını açmaya ikna edilebilir.

Saldırganlar, SmartScreen koruma uyarısını atlatmak için bir Windows kısayolu (.url) dosyası oluştururken kötü amaçlı bir yük teslim mekanizması olarak bir .cpl dosyasını kullanır. .cpl dosyası, kötü amaçlı bir DLL dosyasını uygulamanın dizininde sahtecilik yaparak çalıştırılır, rundll32.exe’yi çağırarak kötü amaçlı bir DLL dosyasını yürütür.

GitHub üzerinde barındırılan kötü amaçlı yazılım, WerFaultSecure.exe, Wer.dll ve Secure.pdf adlı üç dosyayı içeren bir ZIP dosyası indirir. wer.dll dosyası, yükleyicinin işlevselliği için kritiktir. Saldırgan, DLL yan yükleme kullanarak yükleyiciyi uygulamanın dizininde sahte bir DLL dosyası olarak taklit ederek yürütür.

DATA3.txt dosyası, amacını anlamayı zorlaştırmak için içeriğini maskeleyen bir yapıya sahiptir. Kötü amaçlı yazılım, sistem bilgilerini toplar, bunları bir ZIP dosyasına sıkıştırır ve sıkıştırılmış veriyi saldırganlara SendMessage ve SendZip yöntemleri aracılığıyla gönderir. API karma ve dize şifreleme gibi tekniklerle, kötü amaçlı yazılım tespitini atlatır ve tersine mühendisliği karmaşıklaştırır.

Windows Defender SmartScreen Açığı, Phemedrone Stealer ile Sömürüldü CVSS puanı 8.8 olan CVE-2023-36025, Microsoft Windows Defender SmartScreen’i etkiler çünkü İnternet Kısayolu dosyalarındaki kontrollerin eksikliği, saldırganların.url dosyaları oluşturmasına ve kötü amaçlı betikleri yürütmesine izin verir.

Açık 14 Kasım 2023 tarihinde kapatıldı, ancak Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), gerçek dünya saldırılarının kanıtları nedeniyle onu Bilinen Sömürülen Açıklıklar (KEV) listesine ekledi. Keşfinden bu yana, Phemedrone Stealer yükü dahil birçok kötü amaçlı yazılım kampanyası, saldırı zincirlerinde bunu kullanmıştır.

Korunmak için, geliştiricilerin işletim sistemlerini, uygulamalarını ve güvenlik çözümlerini düzenli olarak güncellemeleri, Internet Shortcut dosyaları konusunda dikkatli olmaları ve gerçek zamanlı izleme ile tehdit algılama yetenekleri gibi gelişmiş çözümleri uygulamaları önemlidir.