Criminelen maken misbruik van een kwetsbaarheid in Windows SmartScreen om malware te installeren die allerlei informatie uit wachtwoordmanagers en authenticators steelt, alsmede cryptowallets en andere programma's. Dat laat antivirusbedrijf Trend Micro weten. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet.

Via de kwetsbaarheid (CVE-2023-36025) is het mogelijk om ervoor te zorgen dat er geen waarschuwingen worden getoond. Microsoft kwam afgelopen november met beveiligingsupdates voor het probleem, dat toen al bij zeroday-aanvallen werd misbruikt. Nu wordt de kwetsbaarheid ook gebruikt door criminelen achter de Phemedrone Stealer, malware speciaal ontwikkeld voor het stelen van allerlei informatie van besmette systemen.

Bij de aanvallen maken de aanvallers gebruik van malafide .url-bestanden. Zodra gebruikers daarop klikken wordt een malafide .cpl-bestand gedownload. Normaliter zou Windows SmartScreen waarschuwen voordat malafide bestanden van een onbetrouwbare bron worden uitgevoerd, maar door misbruik van CVE-2023-36025 te maken wordt deze waarschuwing niet getoond en het malafide cpl-bestand uitgevoerd. Dit bestand zorgt uiteindelijk voor het downloaden van de Phemedrone Stealer.

De malware steelt wachtwoorden, cookies en autofill-informatie uit apps zoals LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile en Microsoft Authenticator, alsmede allerlei cryptowallets. Ook worden authenticatie-tokens uit de Discord-app gestolen om zo toegang tot het account van de gebruiker te krijgen. Tevens steelt de malware informatie uit de Steam-, Telegram- en FilleZill-accounts van de gebruiker en worden er allerlei bestanden uit specifieke locaties gestolen, zoals Mijn Documenten en Desktop. Organisaties die de update voor CVE-2023-36025 nog niet hebben geïnstalleerd worden door Trend Micro opgeroepen om dit alsnog te doen.