Un brutto incidente di percorso per Microsoft e il suo antivirus, il malware Phemedrome elude l’antivirus: scatta l’allerta Windows.
Falsa partenza. Proprio mentre Microsoft gongolava per il rilascio delle tanto attese versioni mobili di Copilot, un Assistente AI ora disponibile, tramite app, sia per iOS sia per Android, portando con sé funzionalità proprio dell’Intelligenza Artificiale su smartphone e tablet, ecco il galeotto malware.
Un malware che ha saputo distogliere l’attenzione sul chatbot basato su un modello linguistico di grandi dimensioni, integrato all’inizio per Microsoft Bing e Microsoft Edge, il principale sostituto di Microsoft per Cortana (fuori produzione), perché va a intaccare il suo sistema operativo, super utilizzato. Sì perché Windows non è più sicuro e blindato, causa proprio Phemedrome, un malware open source capace di eludere l’antivirus di Microsoft con conseguente alert per il sistema operativo del colosso di Redmond.
Come il malware Phemedrome ha colpito: malware e ransonware su Windows
La campagna Phmedrone ha colpito nel suo intento. Il malware in questione ruba informazioni e raccoglie dati archiviati in browser web, ma anche wallet di criptovaluta e anche software: da Discord a Steam, passando Telegram. Può perfino acquisire schermate e raccogliere dettagliati metadati di sistema, inclusi dati sulla posizione geografica della vittima.
Una volta trafugati, solita strategia: i dati vengono rispediti agli aggressori per essere utilizzati in altre attività dannose, oppure in molti casi per essere venduti ad altri autori di minacce, principalmente sul dark web. Il malware di Phmedrone, un trojan progettato per rubare password, cookie, token di autenticazione e altre informazioni critiche, è riuscito a sfruttare una vulnerabilità di Microsoft Defender SmartScreen (CVE-2023-36025).
Si tratta dell’antivirus di Microsoft, che ignora le richieste di sicurezza nel momento in cui si aprono file URL, fa sapere l’autorevole Bleeping Computer. Il difetto di Microsoft Defender è stato sì corretto da Microsoft con una Patch, ma è stato anche contrassegnato come attivamente sfruttato negli attacchi, il che vuol dire che ha colpito. E anche bene.
“L’utente dovrebbe fare clic su un collegamento Internet (.URL) appositamente predisposto o su un collegamento ipertestuale che punta a un file di collegamento Internet per essere compromesso dall’aggressore“, spiega il bollettino di sicurezza CVE-2023-36025.
I ricercatori di Trend Micro hanno anche riferito che la campagna Phmedrone non è l’unica famiglia di malware che hanno visto prendere di mira la particolare falla di Microsoft Defender SmartScreen su Windows: altri casi segnalati hanno visto coinvolti perfino i temibili ransomware.