Специалисты из компании Trend Micro обнаружили неизвестный прежде вид вредоносной программы под названием Phemedrone Stealer. Она использует уже закрытую уязвимость Windows Defender SmartScreen под номером CVE-2023-36025.

Данная вредоносная программа собирает информацию из определённых типов файлов и широкого спектра приложений вроде браузеров, файловых менеджеров, мессенджеров и прочих. Собирается информация о местоположении, IP-адреса, страна, город и почтовый индекс. Также программа знает, в какой операционной системе она работает, а ещё делает скриншоты.

Среди целей вредоносной программы браузеры на основе Chromium. Из них собираются пароли, файлы куки, данные автозаполнения из приложений вроде LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile и Microsoft Authenticator. Также под прицелом находятся криптокошельки вроде Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum, Exodus и Guarda. Извлекаются токены аутентификации из программы Discord. Собираются файлы из папок вроде «Документы» и «Рабочий стол», данные и сведения о подключении в FileZilla. Также под угрозой браузеры на основе Gecko, самым популярным среди которых является Firefox. Также собираются связанные с платформой Steam файлы и файлы из мессенджера Telegram.

Microsoft закрыла уязвимость 14 ноября, поэтому на полностью обновлённых компьютерах на Windows она отсутствует.