16 de julio de 2024Sala de prensaSeguridad de datos / Vulnerabilidad Se ha observado que un grupo de amenazas persistentes avanzadas (APT) llamado Void Banshee explota una falla de seguridad recientemente revelada en el motor del navegador MHTML de Microsoft como un día cero para entregar un ladrón de información llamado Atlantida. La empresa de ciberseguridad Trend Micro, que observó la actividad a mediados de mayo de 2024, utilizó la vulnerabilidad, identificada como CVE-2024-38112, como parte de una cadena de ataque de varias etapas utilizando archivos de acceso directo a Internet (URL) especialmente diseñados. «Las variaciones de la campaña Atlantida han estado muy activas a lo largo de 2024 y han evolucionado para utilizar CVE-2024-38112 como parte de las cadenas de infección de Void Banshee», dijeron los investigadores de seguridad Peter Girnus y Aliakbar Zahravi. «La capacidad de los grupos APT como Void Banshee para explotar servicios deshabilitados como [Internet Explorer] representa una amenaza significativa para las organizaciones en todo el mundo». Los hallazgos coinciden con las revelaciones anteriores de Check Point, que le dijo a The Hacker News sobre una campaña que aprovecha la misma deficiencia para distribuir el ladrón. Vale la pena señalar que CVE-2024-38112 fue abordado por Microsoft como parte de las actualizaciones del martes de parches la semana pasada. CVE-2024-38112 ha sido descrito por el fabricante de Windows como una vulnerabilidad de suplantación en el motor de navegador MSHTML (también conocido como Trident) utilizado en el navegador Internet Explorer, ahora descontinuado. Sin embargo, la Zero Day Initiative (ZDI) ha afirmado que es una falla de ejecución de código remoto. «¿Qué sucede cuando el proveedor afirma que la solución debería ser una actualización de defensa en profundidad en lugar de un CVE completo?», señaló Dustin Childs de ZDI. «¿Qué sucede cuando el proveedor afirma que el impacto es una suplantación pero el error da como resultado la ejecución de código remoto?» Las cadenas de ataque implican el uso de correos electrónicos de phishing que incorporan enlaces a archivos ZIP alojados en sitios de intercambio de archivos.que contienen archivos URL que explotan CVE-2024-38112 para redirigir a la víctima a un sitio comprometido que aloja una aplicación HTML maliciosa (HTA). Abrir el archivo HTA da como resultado la ejecución de un script de Visual Basic (VBS) que, a su vez, descarga y ejecuta un script de PowerShell responsable de recuperar un cargador de troyanos .NET, que en última instancia utiliza el proyecto de shellcode Donut para descifrar y ejecutar el ladrón Atlantida dentro de la memoria del proceso RegAsm.exe. Atlantida, modelado a partir de ladrones de código abierto como NecroStealer y PredatorTheStealer, está diseñado para extraer archivos, capturas de pantalla, geolocalización y datos confidenciales de navegadores web y otras aplicaciones, incluidos Telegram, Steam, FileZilla y varias billeteras de criptomonedas. «Al usar archivos URL especialmente diseñados que contenían el controlador de protocolo MHTML y la directiva x-usc!, Void Banshee pudo acceder y ejecutar archivos de aplicaciones HTML (HTA) directamente a través del proceso de IE deshabilitado», dijeron los investigadores. «Este método de explotación es similar a CVE-2021-40444, otra vulnerabilidad MSHTML que se utilizó en ataques de día cero». No se sabe mucho sobre Void Banshee, aparte del hecho de que tiene un historial de atacar regiones de América del Norte, Europa y el sudeste asiático para el robo de información y el beneficio económico. El desarrollo se produce después de que Cloudflare revelara que los actores de amenazas están incorporando rápidamente exploits de prueba de concepto (PoC) en su arsenal, a veces tan rápido como 22 minutos después de su lanzamiento público, como se observó en el caso de CVE-2024-27198. «La velocidad de explotación de los CVE revelados es a menudo más rápida que la velocidad a la que los humanos pueden crear reglas WAF o crear e implementar parches para mitigar los ataques», dijo la empresa de infraestructura web. También sigue al descubrimiento de una nueva campaña que aprovecha los anuncios de Facebook que promocionan temas falsos de Windows para distribuir otro ladrón conocido como SYS01stealer que tiene como objetivo secuestrar cuentas comerciales de Facebook y propagar aún más el malware. «Como ladrón de información, SYS01 se centra en extraer datos del navegador, como credenciales, historial y cookies», afirmó Trustwave. «Una gran parte de su carga útil se centra en obtener tokens de acceso para cuentas de Facebook, específicamente aquellas con cuentas comerciales de Facebook, que pueden ayudar a los actores de amenazas a difundir el malware». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.