新型恶意软件曝光：可绕过微软 Win10 / Win11 防御机制，专门窃取用户敏感信息

朦胧的风

IT之家 1 月 17 日消息，趋势科技近日发布安全公告，发现了名为 Phemedrone Stealer 的高危恶意软件，可以绕过微软 Windows 10 和 Windows 11 系统中的 Defender SmartScreen，窃取你的各种敏感数据。



Phemedrone Stealer 是一种数据采集恶意软件，主要针对各种特定类型的文件和信息，涉及浏览器、文件管理器和通信平台等多种主流软件产品。

Phemedrone Stealer 会收集大量关于 Windows 10、Windows 11 系统的详细信息，包括 IP 地址、所在国家和地区、城市、邮政编码等地理位置数据。



IT之家援引趋势科技报道，Phemedrone Stealer 会收集的数据内容如下：

• 基于 Chromium 的浏览器：该恶意软件会获取数据，包括存储在 LastPass、KeePass、NordPass、Google Authenticator、Duo Mobile 和 Microsoft Authenticator 等应用程序中的密码、cookie 和自动填充信息。
• 加密货币钱包：Phemedrone 能从 Armory、Atomic、Bytecoin、Coninomi、Jaxx、Electrum、Exodus 和 Guarda 等各种加密货币钱包应用程序中提取文件。
• Discord：Phemedrone 从 Discord 应用程序中提取身份验证令牌，从而在未经授权的情况下访问用户账户。
• FileGrabber：恶意软件利用这项服务从指定文件夹（如文档和桌面）中收集用户文件。
• FileZilla：Phemedrone 可从 FileZilla 捕捉 FTP 连接详情和凭证。
• Gecko：恶意软件以基于 Gecko 的浏览器（主要为 Firefox 浏览器）为目标，提取用户数据。
• 系统信息：Phemedrone 会收集大量系统详细信息，包括硬件规格、地理位置和操作系统信息，并进行截图。
• Steam：Phemedrone 可访问与 Steam 游戏平台相关的文件。
• Telegram：该恶意软件从安装目录中提取用户数据，特别是针对“tdata”文件夹中与身份验证相关的文件。这包括根据文件大小和命名模式寻找文件。
  

这种情况下的攻击载体是通过制作的 .url 文件下载和执行恶意脚本，并在此过程中绕过 Windows Defender SmartScreen。因此，被诱骗打开危险文件的用户不会看到 SmartScreen 关于此类文件可能对计算机造成潜在危害的警告。

https://www.ithome.com/0/745/656.htm

huangsijun17

MD系的查杀率再高，也会存在的安全性问题就是容易被发现0-Day而绕过。
用户基数摆着，发现一个，获利一群。

海龙王_ccmd

从来不使用MD，只安装第三方杀软，原因就不说了。

con16

微軟現在推那個智慧型應用控制smart app control也被過嗎?

ambiel0606

不管那么多，依然继续用MD

qzuser_pure

无所谓，么有什么敏感信息。

con16

這個要你去點到打開才會有。只能說自己罩子放亮點。

ddxuchen

既然都曝光了，那微软应该也会很快修复的​​​

布衣王

不是说WIN10自带的Defender SmartScreen非常好么