Un grupo de amenazas persistentes avanzadas (APT) llamado Banshee del vacío Se ha observado que explota una falla de seguridad recientemente revelada en el motor del navegador MHTML de Microsoft como un día cero para entregar un ladrón de información llamado Atlántida.
La empresa de ciberseguridad Trend Micro, que observó la actividad a mediados de mayo de 2024, dijo que la vulnerabilidad, identificada como CVE-2024-38112, se utilizó como parte de una cadena de ataque de varias etapas mediante archivos de acceso directo a Internet (URL) especialmente diseñados.
«Las variaciones de la campaña Atlantida han estado muy activas a lo largo de 2024 y han evolucionado para utilizar CVE-2024-38112 como parte de las cadenas de infección de Void Banshee», dijeron los investigadores de seguridad Peter Girnus y Aliakbar Zahravi. dicho«La capacidad de grupos APT como Void Banshee para explotar servicios deshabilitados como [Internet Explorer] representa una amenaza importante para las organizaciones de todo el mundo».
Los hallazgos coinciden con revelaciones anteriores de Check Point, que le dijo a The Hacker News sobre una campaña que aprovechaba la misma falla para distribuir el ladrón. Vale la pena señalar que Microsoft abordó el problema CVE-2024-38112 como parte de las actualizaciones del martes de parches de la semana pasada.
El fabricante de Windows ha descrito la vulnerabilidad CVE-2024-38112 como una vulnerabilidad de suplantación de identidad en el motor de navegador MSHTML (también conocido como Trident) utilizado en el navegador Internet Explorer, que ya no se fabrica. Sin embargo, la Zero Day Initiative (ZDI) ha afirmado que se trata de un fallo de ejecución remota de código.
«¿Qué sucede cuando el proveedor afirma que la solución debería ser una actualización de defensa en profundidad en lugar de un CVE completo?», Dustin Childs de ZDI señaló«¿Qué sucede cuando el proveedor afirma que el impacto es una suplantación de identidad pero el error da como resultado la ejecución remota de código?»
Las cadenas de ataque implican el uso de correos electrónicos de phishing que incorporan enlaces a archivos ZIP alojados en sitios de intercambio de archivos, que contienen archivos URL que explotan CVE-2024-38112 para redirigir a la víctima a un sitio comprometido que aloja una aplicación HTML maliciosa (HTA).
Al abrir el archivo HTA se ejecuta un script de Visual Basic (VBS) que, a su vez, descarga y ejecuta un script de PowerShell responsable de recuperar un cargador de troyanos .NET, que en última instancia utiliza el proyecto de shellcode Donut para descifrar y ejecutar el ladrón Atlantida dentro de la memoria del proceso RegAsm.exe.
Atlantida, inspirado en ladrones de código abierto como Ladrón de necrófagos y DepredadorElLadrónestá diseñado para extraer archivos, capturas de pantalla, geolocalización y datos confidenciales de navegadores web y otras aplicaciones, incluidos Telegram, Steam, FileZilla y varias billeteras de criptomonedas.
«Al utilizar archivos URL especialmente diseñados que contenían el controlador de protocolo MHTML y la directiva x-usc!, Void Banshee pudo acceder y ejecutar archivos de aplicación HTML (HTA) directamente a través del proceso IE deshabilitado», dijeron los investigadores.
«Este método de explotación es similar a CVE-2021-40444, otra vulnerabilidad MSHTML que se utilizó en ataques de día cero».
No se sabe mucho sobre Void Banshee aparte del hecho de que tiene antecedentes de atacar regiones de América del Norte, Europa y el sudeste asiático para robar información y obtener ganancias financieras.
El desarrollo se produce luego de que Cloudflare reveló que los actores de amenazas están incorporando rápidamente exploits de prueba de concepto (PoC) a su arsenal, a veces tan rápido como 22 minutos después de su lanzamiento público, como se observó en el caso de CVE-2024-27198.
«La velocidad de explotación de los CVE revelados es a menudo más rápida que la velocidad a la que los humanos pueden crear reglas WAF o crear e implementar parches para mitigar los ataques», dijo la empresa de infraestructura web. dicho.
También se produce tras el descubrimiento de una nueva campaña que aprovecha los anuncios de Facebook que promocionan temas falsos de Windows para distribuir otro ladrón conocido como SYS01stealer que tiene como objetivo secuestrar cuentas comerciales de Facebook y propagar aún más el malware.
«Como ladrón de información, SYS01 se centra en extraer datos del navegador, como credenciales, historial y cookies», afirma Trustwave. dicho«Una gran parte de su carga útil se centra en obtener tokens de acceso para cuentas de Facebook, específicamente aquellas con cuentas comerciales de Facebook, lo que puede ayudar a los actores de amenazas a propagar el malware».