在近日,趨勢科技發佈了安全通告稱,發現了一款高危惡意軟件,名為 Phemedrone Stealer,該軟件可以躲避微軟 Windows 10 和 Windows 11 系統中的 Defender SmartScreen 從而對你的各類敏感數據進行盜取。
該軟件是一款數據採集惡意軟件,以各種特定類型的檔案和資料為目標,對瀏覽器、檔案管理器和通信平台等多種主流軟件產品均可涉及。
Phemedrone Stealer 會蒐集很多 Windows 10、Windows 11 系統里的 IP 地址、所在國家和地區、城市、郵政編碼等地理位置數據。
我們援引趨勢科技報道,Phemedrone Stealer 會蒐集以下數據:
基於 Chromium 的瀏覽器:Phemedrone Stealer 會獲取存儲在 LastPass、KeePass、NordPass、Google Authenticator、Duo Mobile 和 Microsoft Authenticator 等應用程式中的密碼、cookie 和自動填充資料的數據。
加密貨幣錢包:Phemedrone Stealer可以從各種加密貨幣錢包應用程式中提取檔案,其中包括Armory、Atomic、Bytecoin、Coninomi、Jaxx、Electrum、Exodus 和 Guarda 等軟件。
Discord:Phemedrone Stealer 可以從 Discord 應用程式中獲取到身份驗證令牌,就可以在不需要授權的情況下對用戶賬戶進行訪問。
FileGrabber:該軟件是通過這項服務對特定資料夾(如文檔和桌面)進行收集用戶檔案。
FileZilla:Phemedrone Stealer 捕捉 FTP 連接詳情和憑證是通過 FileZilla 進行的。
Gecko:Phemedrone Stealer是針對 Gecko 的瀏覽器(主要為 Firefox 瀏覽器)來盜取用戶數據。
系統資料:Phemedrone Stealer 會收集如硬件規格、地理位置和操作系統數據等大量系統詳細資料,並截圖。
Steam:Phemedrone Stealer 可以對跟 Steam 遊戲平台有關的檔案進行訪問。
Telegram:Phemedrone Stealer 從安裝目錄中提取用戶數據,尤其是「tdata」文件夾中與身份驗證相關的檔案,這包括根據檔案大小和命名模式尋找檔案。
該攻擊載體是之所以可以繞過 Windows Defender SmartScreen,是通過製作的 .url 檔案下載和執行惡意腳本。所以,用戶即使被騙打開危險檔案,也不會收到 SmartScreen 發佈的關於此類檔案可能對電腦造成潛在危害的警告。
