Un groupe de menaces persistantes avancées (APT) appelé Banshee du Vide a été observé en train d’exploiter une faille de sécurité récemment révélée dans le moteur de navigateur Microsoft MHTML comme un jour zéro pour diffuser un voleur d’informations appelé Atlantida.
Selon la société de cybersécurité Trend Micro, qui a observé l’activité à la mi-mai 2024, la vulnérabilité – identifiée comme CVE-2024-38112 – a été utilisée dans le cadre d’une chaîne d’attaque en plusieurs étapes utilisant des fichiers de raccourcis Internet (URL) spécialement conçus.
“Des variantes de la campagne Atlantida ont été très actives tout au long de 2024 et ont évolué pour utiliser CVE-2024-38112 dans le cadre des chaînes d’infection Void Banshee”, ont déclaré les chercheurs en sécurité Peter Girnus et Aliakbar Zahravi. “La capacité des groupes APT comme Void Banshee à exploiter des services désactivés tels que [Internet Explorer] constitue une menace importante pour les organisations du monde entier. »
Les résultats concordent avec les révélations antérieures de Check Point, qui a parlé à The Hacker News d’une campagne tirant parti de la même lacune pour distribuer le voleur. Il convient de noter que CVE-2024-38112 a été corrigé par Microsoft dans le cadre des mises à jour du Patch Tuesday la semaine dernière.
CVE-2024-38112 a été décrit par le fabricant de Windows comme une vulnérabilité d’usurpation d’identité dans le moteur de navigateur MSHTML (alias Trident) utilisé dans le navigateur Internet Explorer, désormais abandonné. Cependant, la Zero Day Initiative (ZDI) a affirmé qu’il s’agissait d’une faille d’exécution de code à distance.
“Que se passe-t-il lorsque le fournisseur déclare que le correctif doit être une mise à jour de défense en profondeur plutôt qu’un CVE complet ?”, a souligné Dustin Childs de ZDI. “Que se passe-t-il lorsque le fournisseur déclare que l’impact est une usurpation d’identité mais que le bug entraîne l’exécution de code à distance ?”
Les chaînes d’attaque impliquent l’utilisation d’e-mails de spear phishing intégrant des liens vers des fichiers d’archive ZIP hébergés sur des sites de partage de fichiers, qui contiennent des fichiers URL exploitant le CVE-2024-38112 pour rediriger la victime vers un site compromis hébergeant une application HTML (HTA) malveillante. .
L’ouverture du fichier HTA entraîne l’exécution d’un script Visual Basic (VBS) qui, à son tour, télécharge et exécute un script PowerShell chargé de récupérer un chargeur de cheval de Troie .NET, qui utilise finalement le projet de shellcode Donut pour décrypter et exécuter le voleur Atlantida. dans la mémoire du processus RegAsm.exe.
Atlantida, calqué sur des voleurs open source comme NecroStealer et PredatorTheStealer, est conçu pour extraire des fichiers, des captures d’écran, la géolocalisation et des données sensibles des navigateurs Web et d’autres applications, notamment Telegram, Steam, FileZilla et divers portefeuilles de crypto-monnaie.
“En utilisant des fichiers URL spécialement conçus contenant le gestionnaire de protocole MHTML et la directive x-usc!, Void Banshee a pu accéder et exécuter les fichiers d’application HTML (HTA) directement via le processus IE désactivé”, ont déclaré les chercheurs.
“Cette méthode d’exploitation est similaire à CVE-2021-40444, une autre vulnérabilité MSHTML utilisée dans des attaques zero-day.”
On ne sait pas grand-chose de Void Banshee, à part le fait qu’il a l’habitude de cibler les régions d’Amérique du Nord, d’Europe et d’Asie du Sud-Est à des fins de vol d’informations et de gains financiers.
Cette évolution intervient alors que Cloudflare a révélé que les auteurs de menaces intègrent rapidement des exploits de preuve de concept (PoC) dans leur arsenal, parfois dès 22 minutes après leur publication publique, comme observé dans le cas de CVE-2024-27198.
“La vitesse d’exploitation des CVE divulgués est souvent plus rapide que la vitesse à laquelle les humains peuvent créer des règles WAF ou créer et déployer des correctifs pour atténuer les attaques”, a déclaré la société d’infrastructure Web.
Cela fait également suite à la découverte d’une nouvelle campagne qui exploite les publicités Facebook faisant la promotion de faux thèmes Windows pour distribuer un autre voleur connu sous le nom de SYS01stealer, qui vise à détourner les comptes professionnels Facebook et à propager davantage le malware.
“En tant que voleur d’informations, SYS01 se concentre sur l’exfiltration des données du navigateur telles que les informations d’identification, l’historique et les cookies”, a déclaré Trustwave. “Une grande partie de sa charge utile est axée sur l’obtention de jetons d’accès pour les comptes Facebook, en particulier ceux possédant des comptes professionnels Facebook, ce qui peut aider les acteurs malveillants à propager le malware.”