El exploit de día cero utilizado para aprovechar CVE-2024-38112 , una vulnerabilidad MSHTML de Windows recientemente parcheada, fue utilizado por un grupo APT denominado Void Banshee para distribuir malware a objetivos en América del Norte, Europa y el sudeste asiático, según han compartido los cazadores de amenazas de la Iniciativa Zero Day de Trend Micro.
Cómo Void Banshee utilizó CVE-2024-38112
Como explicó anteriormente el investigador de Check Point Haifei Li, los atacantes utilizaron archivos especialmente diseñados para explotar la vulnerabilidad, pero que estaban diseñados para parecer archivos PDF.
“El actor de amenazas aprovechó CVE-2024-38112 para ejecutar código malicioso abusando del controlador de protocolo MHTML y de las directivas x-usc a través de archivos de acceso directo a Internet (URL). Con esta técnica, el actor de amenazas pudo acceder y ejecutar archivos directamente a través de la instancia deshabilitada de Internet Explorer en las máquinas Windows”, señalaron los investigadores de Trend Micro.
“Esta vulnerabilidad de ejecución de código MHTML se utilizó para infectar a usuarios y organizaciones con el malware Atlantida ”.
Los actores de amenazas utilizaron tácticas de phishing selectivo para dirigir a las víctimas a archivos ZIP que contenían copias de libros en formato PDF, junto con archivos maliciosos camuflados como PDF. Los archivos ZIP estaban alojados en bibliotecas en línea, sitios de uso compartido en la nube, Discord y sitios web comprometidos.
“Algunos de los señuelos PDF que descubrimos durante nuestro análisis de la campaña Void Banshee incluyen libros de texto y material de referencia como Anatomía Clínica, lo que sugiere que la campaña está dirigida a profesionales y estudiantes altamente capacitados que a menudo utilizan materiales de referencia y lugares donde se recopilan copias digitales de libros”, dicen los cazadores de amenazas .
Las víctimas pensaron que estaban abriendo archivos PDF, pero en realidad estaban ejecutando un archivo de acceso directo a Internet que aprovechaba una falla para activar los restos del navegador Internet Explorer y conducir a un sitio web comprometido que alojaba una aplicación HTML maliciosa.
El archivo HTA contenía un script de Visual Basic que usaba PowerShell para descargar un script adicional y ejecutarlo, crear un nuevo proceso para él, descargar cargadores de troyanos adicionales y, finalmente, entregar el ladrón Atlantida.
“[El ladrón] ataca información confidencial de varias aplicaciones, incluidas Telegram, Steam, FileZilla, varias billeteras de criptomonedas y navegadores web. Este malware se enfoca en extraer datos confidenciales y potencialmente valiosos almacenados, como contraseñas y cookies, y también puede recopilar archivos con extensiones específicas del escritorio del sistema infectado”, señalaron..
“Además, el malware captura la pantalla de la víctima y recopila información completa del sistema. Los datos robados se comprimen en un archivo ZIP y se transmiten al atacante a través de TCP”.
Según Check Point, Void Banshee ha estado explotando CVE-2024-38112 durante más de un año.
“La capacidad de grupos APT como Void Banshee de explotar servicios deshabilitados como IE representa una amenaza importante para las organizaciones de todo el mundo”, señalaron los cazadores de amenazas de Trend Micro.
“Dado que servicios como IE tienen una gran superficie de ataque y ya no reciben parches, esto representa un grave problema de seguridad para los usuarios de Windows. Además, la capacidad de los actores de amenazas de acceder a servicios del sistema no compatibles o deshabilitados para eludir los entornos web modernos como el modo IE para Microsoft Edge pone de relieve una importante preocupación del sector”.
Microsoft falla en la divulgación coordinada de vulnerabilidades
Tanto los investigadores de Check Point como los de Trend Micro detectaron la explotación de CVE-2024-38112 a mediados de mayo de 2024 y comunicaron sus hallazgos a Microsoft. Microsoft publicó correcciones para la vulnerabilidad el martes de parches de julio de 2024 que hacen que MHTML ya no se pueda usar dentro de archivos de acceso directo a Internet (.url), y atribuyó el mérito a la primera en el aviso de seguridad de la vulnerabilidad .
Pero ambas compañías se sorprendieron cuando Microsoft publicó las correcciones sin avisarles.
«Esta no es la primera vez que [Microsoft] nos dice que va a solucionar el problema en el mes X, pero lanzó el parche antes sin notificarnos», dijo Li , y señaló que «la divulgación coordinada no puede ser solo una coordinación unilateral».
Dustin Childs, jefe de concientización sobre amenazas en ZDI, señaló otros casos de investigadores que se quejaron de la falta de comunicación de Microsoft y señaló que hacer que el proceso coordinado de divulgación de vulnerabilidades (CVD) sea frustrante para los investigadores podría tener consecuencias negativas para Microsoft.
«Si no ofreces una recompensa y no te coordinas con los investigadores ni les das el crédito apropiado, ¿por qué alguien te informaría de errores?», preguntó.
Para que la divulgación coordinada de vulnerabilidades funcione, ambas partes (proveedores e investigadores) tienen ciertas responsabilidades, señaló, y «es hora de que los proveedores den un paso adelante y cumplan con las suyas».
Fuente y redacción: helpnetsecurity.com
