El malware que ataca a Windows continúa fuera de control

Phemedrone Stealer roba información de los navegadores web, billeteras de criptomonedas y distintos softwares populares. Existe un parche, pero muchos no lo han instalado.

Anahí Di Santo.

Periodista.

Guardar

El sector sanitario es uno de los principales objetivos de los ciberdelincuentes
El sector sanitario es uno de los principales objetivos de los ciberdelincuentes

La compañía de seguridad Trend Micro ha detectado la persistencia de esta amenaza que recopila información confidencial de los ordenadores de los usuarios infectados y la envía a los atacantes. Apunta principalmente a navegadores web, datos de billeteras de criptomonedas y aplicaciones de mensajería como Telegram, Steam y Discord, pero también a herramientas como FileZilla.

El malware Phemedrone Stealer, que se conoció en 2023, aprovecha la vulnerabilidad SmartScreen de Microsoft Defender (CVE-2023-36025), sortea las indicaciones de seguridad de Windows al abrir archivos URL, y su ejecución no activa la ventana de aviso de virus. Es de código abierto escrito en C# y se mantiene activamente en GitHub y Telegram.

También toma capturas de pantalla, hace copia de las contraseñas y nombres de acceso, de las cookies, recopila datos sobre el hardware, la ubicación y los detalles del sistema operativo y otra información que esté almacenada en el navegador del usuario. Los atacantes reciben todos los datos robados a través de Telegram o su servidor de comando y control (C&C) y los utilizan en otras actividades maliciosas o los venden a otros actores de amenazas.

En noviembre pasado Microsoft publicó el parche para la vulnerabilidad CVE-2023-36025 de su software Microsoft Defender. Sin embargo, hay una gran cantidad de usuarios que no han actualizado sus sistemas, por lo que siguen siendo vulnerables al ataque de este malware, y los ciberdelincuentes lo están aprovechando.

La infección se produce cuando el usuario hace clic en un acceso directo de Internet especialmente diseñado (.URL) o en un hipervínculo que apunta a un archivo de acceso directo, explica el boletín de seguridad CVE-2023-36025. Estos archivos URL maliciosos son alojados por los atacantes en servicios de la nube confiables como Discord y FireTransfer.io y, a menudo, los disfrazan utilizando servicios de acortador como shorturl.at, detallan desde BleepingComputer.

Una vez dentro del sistema, Phemedrone descifra los elementos necesarios y roba datos de las siguientes aplicaciones: navegadores basados en Chromium; navegadores Gecko, incluyen herramientas populares como Firefox; billeteras criptográficas como Atom, Armory, Electrum y Exodus; Discord; FileGrabber; FileZilla; información del sistema; Steam y Telegram.

Instala el parche de seguridad de Microsoft

Los especialistas recomiendan que se aplique la actualización que parchea la vulnerabilidad CVE-2023-36025 lo antes posible, en especial porque su uso está siendo cada vez más popular entre los hackers. Si todavía no lo has hecho, la manera más sencilla de aplicar las actualizaciones de seguridad es desde la configuración del sistema.

Con el acceso rápido ‘Windows + I’ accederás a la herramienta de Configuración. Luego busca el apartado de Actualización y seguridad - Windows Update. Busca activamente las actualizaciones. Microsoft las ofrece inmediatamente después de publicar cada martes de parches. Descarga, instala y reinicia el equipo para aplicarlas.

Usuarios más avanzados o que quieran un mayor control de lo que instalan pueden usar el Catálogo de Microsoft Update.