Хакерская группа Void Banshee использует уязвимость Microsoft для распространения вредоносного ПО

Группа киберугроз Void Banshee активно эксплуатирует недавно обнаруженный баг в браузерном движке Microsoft MHTML для распространения шпионского программного обеспечения Atlantida. Компания по кибербезопасности Trend Micro зафиксировала использование уязвимости, обозначенной как CVE-2024-38112, в середине мая 2024 года.

CVE-2024-38112 была классифицирована Microsoft как уязвимость, позволяющая проводить спуфинг, однако исследователи из Zero Day Initiative утверждают, что она позволяет выполнение удалённого кода. В результате взлома злоумышленники могут устанавливать стиллер Atlantida, который крадет файлы, скриншоты, геолокацию и чувствительные данные из браузеров и приложений, таких как Telegram, Steam, FileZilla и различные криптовалютные кошельки.

Атака начинается с фишинговых писем, содержащих ссылки на ZIP-архивы, размещённые на файлообменных сайтах. Эти архивы содержат URL-файлы, которые используют уязвимость CVE-2024-38112 для перенаправления жертвы на сайт, содержащий вредоносное HTML-приложение (HTA). После открытия HTA-файла выполняется скрипт на Visual Basic, который загружает и выполняет PowerShell-скрипт для извлечения и запуска .NET троянского загрузчика, который в свою очередь использует проект шеллкода Donut для расшифровки и выполнения стиллера Atlantida в памяти процесса RegAsm.exe.

Это развитие событий совпало с недавними находками о новой кампании, которая использует рекламу в Facebook для распространения другого вредоносного ПО, SYS01stealer, цель которого — захватить бизнес-аккаунты Facebook и дальнейшее распространение вредоносного ПО.