Trend Microは1月12日(米国時間)、「CVE-2023-36025 Exploited for Defense Evasion in Phemedrone Stealer Campaign」において、Microsoft Defender SmartScreenの脆弱性「CVE-2023-36025」を悪用して情報窃取マルウェア「Phemedrone」を配布するキャンペーンについて調査結果を報告した。

  • CVE-2023-36025 Exploited for Defense Evasion in Phemedrone Stealer Campaign

    CVE-2023-36025 Exploited for Defense Evasion in Phemedrone Stealer Campaign

脆弱性「CVE-2023-36025」の概要

CVE-2023-36025」で追跡されるMicrosoft Defender SmartScreenの脆弱性は、インターネットショートカット(.url)ファイルのチェックと関連するプロンプトの欠如に起因する不具合。この脆弱性を悪用することで、SmartScreenの警告とチェックをバイパスし、悪意のあるファイルをダウンロードして実行するインターネットショートカットファイルを作成することができる。

Microsoftはこの脆弱性に対する修正パッチを2023年11月14日に公開している。しかしながら、概念実証(PoC: Proof of Concept)コードが作成、公開されたことで、さまざまなマルウェアキャンペーンで悪用されるようになった。そのため、この脆弱性は米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)の脆弱性カタログに追加されている。

情報窃取マルウェア「Phemedrone」の配布

攻撃者は、情報窃取マルウェア「Phemedrone」を配布する目的で悪意のあるインターネットショートカットファイルをDiscordやFileTransfer.ioなどのクラウドサービスに配置。標的のユーザーを誘惑したり、だましたりして、ファイルを開かせたとみられている。

  • Phemedroneの感染経路 - 提供:Trend Micro

    Phemedroneの感染経路  引用:Trend Micro

インターネットショートカットファイルを開くと、攻撃者が管理するサーバからコントロールパネルアイテム(.cpl)がダウンロード、実行される。このとき、Microsoft Defender SmartScreenによる警告は脆弱性の影響により表示されない。次にコントロールパネルの処理を通じて悪意のあるダイナミックリンクライブラリ(DLL: Dynamic Link Library)がロード、実行される。

ダイナミックリンクライブラリはPowerShellを使用して次のステージのPowerShellスクリプトをGitHubからダウンロードして実行する。このように複数の段階を踏んでいくつかのマルウェアローダをダウンロード、実行して永続性を確保し、最終的に情報窃取マルウェア「Phemedrone」をメモリ上に展開して実行する。

「Phemedrone」が備える機能

Trend Microによると、Phemedroneには次のような情報を収集して窃取する機能があるとされる。

  • Chromiumベースのブラウザの情報。LastPass、KeePass、NordPass、Google Authenticator、Duo Mobile、Microsoft Authenticatorに保存されているパスワード、Cookie、自動入力情報なども収集する
  • さまざまな暗号資産ウォレットアプリのファイル
  • Discordの認証トークン
  • ドキュメントやデスクトップなど特定のフォルダのファイル
  • FileZillaのFTP接続情報と認証情報
  • Geckoベースのブラウザのユーザーデータ
  • ハードウェア仕様、位置情報、オペレーティングシステム情報など、広範囲のシステム情報とスクリーンショット
  • Steamゲームプラットフォームに関連するファイル
  • Telegramの「tdata」フォルダ内の認証関連ファイル

対策

この脆弱性はすでに修正パッチが公開されているにもかかわらず、攻撃者は継続して悪用を試みているとみられる。Trend Microはこの脅威からシステムを保護するために、Windowsを更新して修正パッチを適用することを推奨している。