Un nuevo malware en Windows se salta SmartScreen y roba todos tus datos

No es la primera vez que os contamos acerca de malware que pudiera afectar a vuestros equipos Windows como el Galaxy Book. Hoy por desgracia nos toca hablar del nuevo descubrimiento de los investigadores de Trend Micro, que han identificado una nueva cepa de malware denominada Phemedrone Stealer, que actualmente está explotando la vulnerabilidad CVE-2023-36025 de Windows Defender SmartScreen, esta vulnerabilidad sí que estaba ya parcheada, pero el malware consigue volver a revivirla.

Phemedrone Stealer es un malware de recolección de datos que se enfoca en varios tipos específicos de archivos e información en una amplia gama de productos de software populares, incluyendo navegadores, administradores de archivos y plataformas de comunicación.

Un malware que recopila datos, así puedes evitarlo

Este malware recopila detalles del sistema, como datos de geolocalización (IP, país, ciudad y código postal) sobre Windows 10 u 11 y realiza capturas de pantalla durante el proceso. Los objetivos específicos del malware incluyen:

• Navegadores basados en Chromium: recopila datos, incluidas contraseñas, cookies e información de autocompletar almacenada en aplicaciones como LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile y Microsoft Authenticator, entre otras.
• Billeteras criptográficas: extrae archivos de varias aplicaciones de billetera de criptomonedas como Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum, Exodus y Guarda.
• Discord: extrae tokens de autenticación de la aplicación Discord, permitiendo el acceso no autorizado a la cuenta del usuario.
• Capturador de archivos: recopila archivos de usuario de carpetas designadas, como Documentos y Escritorio.
• FileZilla: captura detalles y credenciales de la conexión FTP de FileZilla.
• Geco: se dirige a los navegadores basados en Gecko (como Firefox) para extraer datos de los usuarios.
• Steam: accede a archivos relacionados con la plataforma de juegos Steam.
• Telegram: extrae datos del usuario del directorio de instalación, específicamente archivos relacionados con la autenticación dentro de la carpeta “tdata”.

El vector de ataque implica la creación de archivos .url que descargan y ejecutan scripts maliciosos, evitando la detección de SmartScreen de Windows Defender. Una vez que el malware evita la detección, descarga la carga útil y establece una presencia permanente en el sistema.

Microsoft asegura que ya ha parcheado también esta nueva brecha, por lo que para poder esquivar este problema te recomendamos que mantengas actualizado tu equipo siempre. Para ello ve a Windows Update y busca nuevas actualizaciones.