Grupa naprednih persistentnih prijetnji (APT) pod nazivom Void Banshee je primijećena kako iskorištava nedavno otkriveni sigurnosni propust u Microsoftovom MHTML pretraživaču kao nulti dan za isporuku kradljivca informacija pod nazivom Atlantida.
Firma za cyber sigurnost Trend Micro, koja je posmatrala aktivnost sredinom maja 2024. godine, ranjivost – praćena kao CVE-2024-38112 – korišćena je kao deo višestepenog lanca napada koristeći posebno kreirane datoteke prečica na internetu (URL).
“Varijacije kampanje Atlantida bile su vrlo aktivne tijekom 2024. i evoluirale su da koriste CVE-2024-38112 kao dio lanaca infekcije Void Banshee”, rekli su istraživači sigurnosti Peter Girnus i Aliakbar Zahravi. “Sposobnost APT grupa kao što je Void Banshee da iskorištavaju usluge s invaliditetom kao što je [Internet Explorer] predstavlja značajnu prijetnju organizacijama širom svijeta.”
Atlantida, po uzoru na kradljivce otvorenog koda kao što su NecroStealer i PredatorTheStealer, dizajnirana je za izdvajanje datoteka, snimaka ekrana, geolokacije i osjetljivih podataka iz web pretraživačai drugih aplikacija, uključujući Telegram, Steam, FileZilla i razne novčanike kriptovaluta.
“Upotrebom posebno izrađenih URL datoteka koje su sadržavale rukovaoce MHTML protokolom i x-usc! direktivu, Void Banshee je mogao pristupiti i pokrenuti datoteke HTML aplikacije (HTA) direktno kroz onemogućeni IE proces”, rekli su istraživači.
“Ovaj način eksploatacije je sličan CVE-2021-40444, još jednoj MSHTML ranjivosti koja je korištena u napadima nultog dana.”
Ne zna se mnogo o Void Banshee-u osim činjenice da ima historiju ciljanja sjevernoameričkih, evropskih i jugoistočnih azijskih regija radi krađe informacija i finansijske dobiti.
Razvoj dolazi kada je Cloudflare otkrio da hakeri brzo ugrađuju eksploatacije dokaza o konceptu (PoC) u svoj arsenal, ponekad i 22 minute nakon njihovog javnog objavljivanja, kao što je primjećeno u slučaju CVE-2024-27198.
“Brzina eksploatacije otkrivenih CVE-ova često je brža od brzine kojom ljudi mogu kreirati WAF pravila ili kreirati i implementirati zakrpe za ublažavanje napada”, rekla je kompanija za web infrastrukturu.
Takođe prati otkriće nove kampanje koja koristi Facebook oglase koji promovišu lažne Windows teme za distribuciju drugog kradljivaca poznatog kao SYS01stealer koji ima za cilj da otme Facebook poslovne naloge i dalje propagira zlonamjerni softver.
„Budući da je kradljivac informacija, SYS01 se fokusira na eksfiltriranje podataka pretraživača kao što su akredativi, historija i kolačići,“ rekao je Trustwave. “Veliki dio njegovog tereta fokusiran je na dobivanje pristupnih tokena za Facebook račune, posebno one sa Facebook poslovnim nalozima, koji mogu pomoći hakerima u širenju zlonamjernog softvera.”
Izvor:The Hacker News
