Un grupo de amenazas persistentes avanzadas (APT) llamado Banshee del vac\u00edo<\/strong> Se ha observado que explota una falla de seguridad recientemente revelada en el motor del navegador MHTML de Microsoft como un d\u00eda cero para entregar un ladr\u00f3n de informaci\u00f3n llamado Atl\u00e1ntida<\/a>.<\/p>\n La empresa de ciberseguridad Trend Micro, que observ\u00f3 la actividad a mediados de mayo de 2024, dijo que la vulnerabilidad, identificada como CVE-2024-38112, se utiliz\u00f3 como parte de una cadena de ataque de varias etapas mediante archivos de acceso directo a Internet (URL) especialmente dise\u00f1ados.<\/p>\n “Las variaciones de la campa\u00f1a Atlantida han estado muy activas a lo largo de 2024 y han evolucionado para utilizar CVE-2024-38112 como parte de las cadenas de infecci\u00f3n de Void Banshee”, dijeron los investigadores de seguridad Peter Girnus y Aliakbar Zahravi. dicho<\/a>“La capacidad de grupos APT como Void Banshee para explotar servicios deshabilitados como [Internet Explorer] representa una amenaza importante para las organizaciones de todo el mundo”.<\/p>\n Los hallazgos coinciden con revelaciones anteriores de Check Point, que le dijo a The Hacker News sobre una campa\u00f1a que aprovechaba la misma falla para distribuir el ladr\u00f3n. Vale la pena se\u00f1alar que Microsoft abord\u00f3 el problema CVE-2024-38112 como parte de las actualizaciones del martes de parches de la semana pasada.<\/p>\n El fabricante de Windows ha descrito la vulnerabilidad CVE-2024-38112 como una vulnerabilidad de suplantaci\u00f3n de identidad en el motor de navegador MSHTML (tambi\u00e9n conocido como Trident) utilizado en el navegador Internet Explorer, que ya no se fabrica. Sin embargo, la Zero Day Initiative (ZDI) ha afirmado que se trata de un fallo de ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n “\u00bfQu\u00e9 sucede cuando el proveedor afirma que la soluci\u00f3n deber\u00eda ser una actualizaci\u00f3n de defensa en profundidad en lugar de un CVE completo?”, Dustin Childs de ZDI se\u00f1al\u00f3<\/a>“\u00bfQu\u00e9 sucede cuando el proveedor afirma que el impacto es una suplantaci\u00f3n de identidad pero el error da como resultado la ejecuci\u00f3n remota de c\u00f3digo?”<\/p>\n Las cadenas de ataque implican el uso de correos electr\u00f3nicos de phishing que incorporan enlaces a archivos ZIP alojados en sitios de intercambio de archivos, que contienen archivos URL que explotan CVE-2024-38112 para redirigir a la v\u00edctima a un sitio comprometido que aloja una aplicaci\u00f3n HTML maliciosa (HTA).<\/p>\n Al abrir el archivo HTA se ejecuta un script de Visual Basic (VBS) que, a su vez, descarga y ejecuta un script de PowerShell responsable de recuperar un cargador de troyanos .NET, que en \u00faltima instancia utiliza el proyecto de shellcode Donut para descifrar y ejecutar el ladr\u00f3n Atlantida dentro de la memoria del proceso RegAsm.exe.<\/p>\n Atlantida, inspirado en ladrones de c\u00f3digo abierto como Ladr\u00f3n de necr\u00f3fagos<\/a> y DepredadorElLadr\u00f3n<\/a>est\u00e1 dise\u00f1ado para extraer archivos, capturas de pantalla, geolocalizaci\u00f3n y datos confidenciales de navegadores web y otras aplicaciones, incluidos Telegram, Steam, FileZilla y varias billeteras de criptomonedas.<\/p>\n “Al utilizar archivos URL especialmente dise\u00f1ados que conten\u00edan el controlador de protocolo MHTML y la directiva x-usc!, Void Banshee pudo acceder y ejecutar archivos de aplicaci\u00f3n HTML (HTA) directamente a trav\u00e9s del proceso IE deshabilitado”, dijeron los investigadores.<\/p>\n “Este m\u00e9todo de explotaci\u00f3n es similar a CVE-2021-40444, otra vulnerabilidad MSHTML que se utiliz\u00f3 en ataques de d\u00eda cero”.<\/p>\n No se sabe mucho sobre Void Banshee aparte del hecho de que tiene antecedentes de atacar regiones de Am\u00e9rica del Norte, Europa y el sudeste asi\u00e1tico para robar informaci\u00f3n y obtener ganancias financieras.<\/p>\n El desarrollo se produce luego de que Cloudflare revel\u00f3 que los actores de amenazas est\u00e1n incorporando r\u00e1pidamente exploits de prueba de concepto (PoC) a su arsenal, a veces tan r\u00e1pido como 22 minutos despu\u00e9s de su lanzamiento p\u00fablico, como se observ\u00f3 en el caso de CVE-2024-27198.<\/p>\n “La velocidad de explotaci\u00f3n de los CVE revelados es a menudo m\u00e1s r\u00e1pida que la velocidad a la que los humanos pueden crear reglas WAF o crear e implementar parches para mitigar los ataques”, dijo la empresa de infraestructura web. dicho<\/a>.<\/p>\n Tambi\u00e9n se produce tras el descubrimiento de una nueva campa\u00f1a que aprovecha los anuncios de Facebook que promocionan temas falsos de Windows para distribuir otro ladr\u00f3n conocido como SYS01stealer que tiene como objetivo secuestrar cuentas comerciales de Facebook y propagar a\u00fan m\u00e1s el malware.<\/p>\n “Como ladr\u00f3n de informaci\u00f3n, SYS01 se centra en extraer datos del navegador, como credenciales, historial y cookies”, afirma Trustwave. dicho<\/a>“Una gran parte de su carga \u00fatil se centra en obtener tokens de acceso para cuentas de Facebook, espec\u00edficamente aquellas con cuentas comerciales de Facebook, lo que puede ayudar a los actores de amenazas a propagar el malware”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/El-APT-Void-Banshee-explota-la-falla-MHTML-de-Microsoft.jpg\")
<\/a><\/center><\/section>\n<\/a><\/div>\n