Um grupo de ameaças persistentes avançadas (APT) chamado Banshee do Vazio foi observado explorando uma falha de segurança recentemente divulgada no mecanismo do navegador MHTML da Microsoft como um ataque de dia zero para entregar um ladrão de informações chamado Atlantida.
A empresa de segurança cibernética Pattern Micro, que observou a atividade em meados de maio de 2024, descobriu que a vulnerabilidade – rastreada como CVE-2024-38112 – foi usada como parte de uma cadeia de ataque em vários estágios usando arquivos de atalho de web (URL) especialmente criados.
“Variações da campanha Atlantida foram altamente ativas ao longo de 2024 e evoluíram para usar CVE-2024-38112 como parte das cadeias de infecção do Void Banshee”, disseram os pesquisadores de segurança Peter Girnus e Aliakbar Zahravi. “A capacidade de grupos APT como o Void Banshee de explorar serviços desabilitados como (o Web Explorer) representa uma ameaça significativa para organizações em todo o mundo.”
As descobertas coincidem com divulgações anteriores da Test Level, que contou ao The Hacker Information sobre uma campanha que aproveitou a mesma deficiência para distribuir o ladrão. Vale a pena notar que o CVE-2024-38112 foi abordado pela Microsoft como parte das atualizações do Patch Tuesday na semana passada.
CVE-2024-38112 foi descrito pelo fabricante do Home windows como uma vulnerabilidade de spoofing no mecanismo de navegador MSHTML (também conhecido como Trident) usado no navegador Web Explorer, agora descontinuado. No entanto, a Zero Day Initiative (ZDI) afirmou que é uma falha de execução remota de código.
“O que acontece quando o fornecedor declara que a correção deve ser uma atualização de defesa em profundidade em vez de um CVE completo?”, Dustin Childs da ZDI apontou. “O que acontece quando o fornecedor declara que o impacto é falsificação, mas o bug resulta em execução remota de código?”
As cadeias de ataque envolvem o uso de e-mails de spear-phishing incorporando hyperlinks para arquivos ZIP hospedados em websites de compartilhamento de arquivos, que contêm arquivos URL que exploram o CVE-2024-38112 para redirecionar a vítima para um website comprometido que hospeda um aplicativo HTML malicioso (HTA).
Abrir o arquivo HTA resulta na execução de um script Visible Fundamental (VBS) que, por sua vez, baixa e executa um script PowerShell responsável por recuperar um carregador de trojan .NET, que, por fim, usa o projeto de shellcode Donut para descriptografar e executar o ladrão Atlantida dentro da memória do processo RegAsm.exe.
O Atlantida, inspirado em ladrões de código aberto como NecroStealer e PredatorTheStealer, foi projetado para extrair arquivos, capturas de tela, geolocalização e dados confidenciais de navegadores da net e outros aplicativos, incluindo Telegram, Steam, FileZilla e várias carteiras de criptomoedas.
“Ao usar arquivos de URL especialmente criados que continham o manipulador de protocolo MHTML e a diretiva x-usc!, o Void Banshee conseguiu acessar e executar arquivos de aplicativo HTML (HTA) diretamente por meio do processo desabilitado do IE”, disseram os pesquisadores.
“Esse método de exploração é semelhante ao CVE-2021-40444, outra vulnerabilidade MSHTML que foi usada em ataques de dia zero.”
Não se sabe muito sobre o Void Banshee, além do fato de que ele tem um histórico de ataques em regiões da América do Norte, Europa e Sudeste Asiático para roubo de informações e ganhos financeiros.
O desenvolvimento ocorre no momento em que a Cloudflare revelou que os agentes de ameaças estão rapidamente incorporando exploits de prova de conceito (PoC) em seu arsenal, às vezes até 22 minutos após seu lançamento público, como observado no caso do CVE-2024-27198.
“A velocidade de exploração de CVEs divulgados é frequentemente maior do que a velocidade com que humanos podem criar regras WAF ou criar e implantar patches para mitigar ataques”, disse a empresa de infraestrutura da net.
Isso também ocorre após a descoberta de uma nova campanha que utiliza anúncios do Fb promovendo temas falsos do Home windows para distribuir outro ladrão conhecido como SYS01stealer, que visa sequestrar contas comerciais do Fb e propagar ainda mais o malware.
“Sendo um infostealer, o SYS01 foca em exfiltrar dados do navegador, como credenciais, histórico e cookies”, disse a Trustwave. “Uma grande parte de sua carga útil é focada em obter tokens de acesso para contas do Fb, especificamente aquelas com contas comerciais do Fb, o que pode ajudar os agentes da ameaça a espalhar o malware.”
