新型惡意軟件曝光：可繞過微軟 Win10 / Win11 防御機制，專門竊取用戶敏感信息

IT之家 1 月 17 日消息，趨勢科技近日發(fā)布安全公告，發(fā)現(xiàn)了名為 Phemedrone Stealer 的高危惡意軟件，可以繞過微軟 Windows 10 和 Windows 11 系統(tǒng)中的 Defender SmartScreen，竊取你的各種敏感數(shù)據(jù)。

Phemedrone Stealer 是一種數(shù)據(jù)采集惡意軟件，主要針對各種特定類型的文件和信息，涉及瀏覽器、文件管理器和通信平臺等多種主流軟件產(chǎn)品。

Phemedrone Stealer 會收集大量關(guān)于 Windows 10、Windows 11 系統(tǒng)的詳細信息，包括 IP 地址、所在國家和地區(qū)、城市、郵政編碼等地理位置數(shù)據(jù)。

IT之家援引趨勢科技報道，Phemedrone Stealer 會收集的數(shù)據(jù)內(nèi)容如下：

• 基于 Chromium 的瀏覽器：該惡意軟件會獲取數(shù)據(jù)，包括存儲在 LastPass、KeePass、NordPass、Google Authenticator、Duo Mobile 和 Microsoft Authenticator 等應(yīng)用程序中的密碼、cookie 和自動填充信息。

• 加密貨幣錢包：Phemedrone 能從 Armory、Atomic、Bytecoin、Coninomi、Jaxx、Electrum、Exodus 和 Guarda 等各種加密貨幣錢包應(yīng)用程序中提取文件。

• Discord：Phemedrone 從 Discord 應(yīng)用程序中提取身份驗證令牌，從而在未經(jīng)授權(quán)的情況下訪問用戶賬戶。

• FileGrabber：惡意軟件利用這項服務(wù)從指定文件夾（如文檔和桌面）中收集用戶文件。

• FileZilla：Phemedrone 可從 FileZilla 捕捉 FTP 連接詳情和憑證。

• Gecko：惡意軟件以基于 Gecko 的瀏覽器（主要為 Firefox 瀏覽器）為目標(biāo)，提取用戶數(shù)據(jù)。

• 系統(tǒng)信息：Phemedrone 會收集大量系統(tǒng)詳細信息，包括硬件規(guī)格、地理位置和操作系統(tǒng)信息，并進行截圖。

• Steam：Phemedrone 可訪問與 Steam 游戲平臺相關(guān)的文件。

• Telegram：該惡意軟件從安裝目錄中提取用戶數(shù)據(jù)，特別是針對“tdata”文件夾中與身份驗證相關(guān)的文件。這包括根據(jù)文件大小和命名模式尋找文件。

這種情況下的攻擊載體是通過制作的 .url 文件下載和執(zhí)行惡意腳本，并在此過程中繞過 Windows Defender SmartScreen。因此，被誘騙打開危險文件的用戶不會看到 SmartScreen 關(guān)于此類文件可能對計算機造成潛在危害的警告。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。