Falhas no Microsoft MHTML
16 de Julho de 2024

Um grupo de ameaça persistente avançada (APT) conhecido como Void Banshee foi observado explorando uma falha de segurança recentemente divulgada no motor de navegador Microsoft MHTML como um zero-day para entregar um ladrão de informações chamado Atlantida.

A empresa de cibersegurança Trend Micro, que observou a atividade em meados de maio de 2024, informou que a vulnerabilidade – identificada como CVE-2024-38112 – foi utilizada como parte de uma cadeia de ataque multi-estágios usando arquivos de atalho de internet (URL) especialmente criados.

"Variações da campanha Atlantida foram altamente ativas ao longo de 2024 e evoluíram para usar CVE-2024-38112 como parte das cadeias de infecção do Void Banshee," disseram os pesquisadores de segurança Peter Girnus e Aliakbar Zahravi.

A capacidade de grupos APT como o Void Banshee de explorar serviços desativados como [Internet Explorer] representa uma ameaça significativa para organizações ao redor do mundo.

Essas descobertas estão alinhadas com divulgações anteriores da Check Point, que informou ao The Hacker News sobre uma campanha que explora a mesma vulnerabilidade para distribuir o ladrão de informações.

Vale ressaltar que CVE-2024-38112 foi corrigido pela Microsoft como parte das atualizações do Patch Tuesday na semana passada.

CVE-2024-38112 foi descrito pelo fabricante do Windows como uma vulnerabilidade de spoofing no motor de navegador MSHTML (também conhecido como Trident) usado no navegador Internet Explorer, agora descontinuado.

No entanto, a zero-day Initiative (ZDI) afirmou que se trata de uma falha de execução de código remoto.

"O que acontece quando o fornecedor afirma que a correção deve ser uma atualização de defesa em profundidade ao invés de um CVE completo?," apontou Dustin Childs da ZDI.

O que acontece quando o fornecedor afirma que o impacto é spoofing, mas o bug resulta em execução de código remoto?

As cadeias de ataque envolvem o uso de e-mails de spear-phishing incorporando links para arquivos de arquivo ZIP hospedados em sites de compartilhamento de arquivos, que contêm arquivos URL que exploram CVE-2022-38112 para redirecionar a vítima para um site comprometido hospedando um Aplicativo HTML malicioso (HTA).

Abrir o arquivo HTA resulta na execução de um Script Visual Basic (VBS) que, por sua vez, baixa e executa um script PowerShell responsável por recuperar um carregador de trojan .NET, que finalmente usa o projeto de shellcode Donut para descriptografar e executar o ladrão Atlantida dentro da memória do processo RegAsm.exe.

Atlantida, inspirado em ladrões de código aberto como NecroStealer e PredatorTheStealer, é projetado para extrair arquivos, capturas de tela, geolocalização e dados sensíveis de navegadores da web e outras aplicações, incluindo Telegram, Steam, FileZilla e várias carteiras de criptomoeda.

"Usando arquivos URL especialmente criados que continham o manipulador de protocolo MHTML e a diretiva x-usc!, o Void Banshee foi capaz de acessar e executar arquivos de Aplicativo HTML (HTA) diretamente através do processo IE desativado," disseram os pesquisadores.

"Este método de exploração é semelhante ao CVE-2021-40444 , outra vulnerabilidade do MSHTML que foi usada em ataques zero-day." Não se sabe muito sobre o Void Banshee além do fato de que tem um histórico de mirar regiões da América do Norte, Europa e Sudeste Asiático para roubo de informações e ganho financeiro.

Esse desenvolvimento ocorre enquanto a Cloudflare revelou que os atores de ameaças estão incorporando rapidamente exploraits de prova de conceito (PoC) em seu arsenal, às vezes tão rápido quanto 22 minutos após seu lançamento público, conforme observado no caso do CVE-2024-27198 .

"A velocidade de exploração dos CVEs divulgados é muitas vezes mais rápida do que a velocidade com que os humanos podem criar regras de WAF ou criar e implantar patches para mitigar ataques," disse a empresa de infraestrutura web.

Isso também segue a descoberta de uma nova campanha que utiliza anúncios no Facebook promovendo temas falsos do Windows para distribuir outro ladrão de informações conhecido como SYS01stealer, que visa sequestrar contas empresariais do Facebook e propagar ainda mais o malware.

"Sendo um infostealer, o SYS01 foca na exfiltração de dados de navegador como credenciais, histórico e cookies," disse a Trustwave.

Uma grande parte do seu payload é focado na obtenção de tokens de acesso para contas do Facebook, especificamente aquelas com contas empresariais do Facebook, o que pode ajudar os atores da ameaça a disseminar o malware.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...