Malgré les efforts déployés par Microsoft pour endiguer les vulnérabilités de Windows, les pirates trouvent toujours un moyen de contourner la sécurité de l’OS. C’est le cas de Phemedrone Stealer, un malware inédit qui échappe à la détection de l’antivirus Microsoft Defender.
Windows n’est clairement pas le système d’exploitation le plus fiable du marché. En effet, l’OS de Microsoft est régulièrement la cible de virus et est vulnérable à de nombreuses failles de sécurité. Une situation préoccupante qui peut aboutir à des conséquences désastreuses pour les utilisateurs.
Alors que Windows a été victime de pas moins de 58 failles de sécurité en novembre 2023, une nouvelle menace infecte les machines à été repérée par les équipes de sécurité de Trend Micro. Répondant au nom de Phemedrone Stealer, ce malware cible les informations personnelles des usagers de l’OS.
Ce qui distingue ce virus du reste est sa capacité à échapper au logiciel antivirus de Microsoft. Ainsi, Phemedrone Stealer exploite activement la faille de sécurité CVE-2023-36025 qui affecte Windows Defender Smartscreen.
Un virus invisible qui échappe à Microsoft Defender
Cette faille est issue d’une absence de vérification de la sécurité des URL internet. Pour cette vulnérabilité, les pirates génèrent des .url corrompus capables d’infecter Windows 11 et 10 sans créer d’alerte de la part de l’antivirus.
Une vulnérabilité similaire avait fait des ravages précédemment. Des hackers avaient réussi à passer à travers les sécurités de Windows en exploitant une faille du schéma URI ms-appinstaller. Heureusement, Microsoft a fini par corriger cette faille de sécurité majeure.
Afin d’atteindre leurs objectifs, les hackers utilisent donc des .url qu’ils partagent sur différentes plateformes comme Discord mais aussi via des services de stockage en ligne comme FileTransfer.io. Cerise sur le gâteau, en utilisant des raccourcisseurs d’URL, les pirates essaient de rendre plus compliquée la détection de leur .url malveillant.
Phemedrone Stealer cible tout particulièrement les navigateurs internet en collectant des informations parfois très confidentielles. Parmi les victimes du virus, on compte :
- Les mots de passe.
- Les cookies.
- Les gestionnaires de mots de passe (LastPass, KeePass, NordPass, Google Authenticator et Microsoft Authenticator).
- Les applications de messagerie (Telegram, Discord, etc.)
- Les clients FTP comme FileZilla.
- Mais aussi les portefeuilles de cryptomonnaie.
Un correctif à la faille de Microsoft Defender existe déjà
Comme si ce n’était pas suffisant, le malware peut également prendre des captures d’écran du Windows infecté. Étrangement, Microsoft avait déjà corrigé la faille de sécurité de Microsoft Defender en novembre dernier. Malheureusement, il semblerait que cela n’empêche pas le virus d’agir.
En effet, tous les utilisateurs n’ont pas mis à jour leur machine et certaines restent encore vulnérables aux pirates. Bien qu’une mise à jour puisse être synonyme de bugs, quand il s’agit d’un correctif de sécurité, il est fortement conseillé de l’installer mais aussi d’installer un meilleur logiciel antivirus.
- Un virus inédit cible Windows 10 et 11 et échappe à la surveillance de l’antivirus Microsoft Defender.
- Phemedrone Stealer exploite activement une faille de sécurité liée aux URL internet.
- Les pirates utilisent des fichiers .url pour infecter les machines et voler des informations confidentielles.
- La faille a déjà été corrigée par Microsoft en novembre 2023.
Source : Trend Micro
