新型恶意软件曝光：可绕过微软SmartScreen，窃取用户敏感信息

IT之家1月17日消息，趋势科技近日发布安全公告，发现了名为PhemedroneStealer的高危恶意软件，可以绕过微软Windows10和Windows11系统中的DeferSmartScreen，窃取你的各种敏感数据。

PhemedroneStealer是一种数据采集恶意软件，主要针对各种特定类型的文件和信息，涉及浏览器、文件管理器和通信平台等多种主流软件产品。

PhemedroneStealer会收集大量关于Windows10、Windows11系统的详细信息，包括IP地址、所在国家和地区、城市、邮政编码等地理位置数据。

IT之家援引趋势科技报道，PhemedroneStealer会收集的数据内容如下：

基于Chromium的浏览器：该恶意软件会获取数据，包括存储在LastPass、KeePass、NordPass、GoogleAuthenticator、DuoMobile和MicrosoftAuthenticator等应用程序中的密码、cookie和自动填充信息。

加密货币钱包：Phemedrone能从Armory、Atomic、Bytecoin、Coninomi、Jaxx、Electrum、Exodus和Guarda等各种加密货币钱包应用程序中提取文件。

Discord：Phemedrone从Discord应用程序中提取身份验证令牌，从而在未经授权的情况下访问用户账户。

FileGrabber：恶意软件利用这项服务从指定文件夹（如文档和桌面）中收集用户文件。

FileZilla：Phemedrone可从FileZilla捕捉FTP连接详情和凭证。

Gecko：恶意软件以基于Gecko的浏览器（主要为Firefox浏览器）为目标，提取用户数据。

系统信息：Phemedrone会收集大量系统详细信息，包括硬件规格、地理位置和操作系统信息，并进行截图。

Steam：Phemedrone可访问与Steam游戏平台相关的文件。

Telegram：该恶意软件从安装目录中提取用户数据，特别是针对“tdata”文件夹中与身份验证相关的文件。这包括根据文件大小和命名模式寻找文件。

这种情况下的攻击载体是通过制作的.url文件下载和执行恶意脚本，并在此过程中绕过WindowsDeferSmartScreen。因此，被诱骗打开危险文件的用户不会看到SmartScreen关于此类文件可能对计算机造成潜在危害的警告。