Microsoft zagrożony
W maju 2024 r. firma Trend Micro zauważyła, że luka oznaczona jako CVE-2024-38112 jest używana do przeprowadzania ataków za pomocą specjalnie przygotowanych plików skrótów internetowych.
Według ekspertów ds. cyberbezpieczeństwa ataki te są szczególnie groźne, ponieważ nawet wyłączone usługi, takie jak Internet Explorer, mogą zostać wykorzystane do ich przeprowadzenia.
Microsoft już wydał poprawkę na tę lukę w ramach ostatniego Patch Tuesday, ale zespół Zero Day Initiative podkreśla, że problem jest bardziej skomplikowany, ponieważ luka ta może być używana do zdalnego wykonania kodu, mimo że Microsoft opisuje ją jako podatność na fałszowanie.
Mechanizm cyberataku
Ataki rozpoczynają się od wiadomości spear-phishingowych, które zawierają linki do plików o rozszerzeniu.zip. Te z kolei zawierają pliki URL, które wykorzystują CVE-2024-38112 do przekierowania ofiary na zainfekowaną stronę złośliwą aplikacją HTML (HTA).
Po otwarciu pliku HTA wykonywany jest skrypt Visual Basic (VBS), który pobiera i uruchamia skrypt PowerShell, odpowiedzialny za pobranie trojana.NET. Ten z kolei wykorzystuje projekt Donut do odszyfrowania i uruchomienia stealera Atlantida w pamięci procesu RegAsm.exe.
Atlantida Stealer, oparty na otwartoźródłowych stalerach, takich jak NecroStealer i PredatorTheStealer, jest zaprojektowany do wykradania plików, zrzutów ekranu, geolokalizacji oraz danych poufnych z przeglądarek internetowych i innych aplikacji. W tym Telegram, Steam, FileZilla oraz różne portfele kryptowalutowe.
Metody działania Void Banshee
Grupa Void Banshee, mimo że mało znana, ma na swoim koncie liczne ataki skierowane na regiony Ameryki Północnej, Europy oraz Azji Południowo-Wschodniej. Jej celem jest kradzież informacji oraz zyski finansowe. Cyberprzestępcy szybko adaptują nowo odkryte luki, jak pokazuje przypadek CVE-2024-27198, gdzie wykorzystywali exploit w ciągu 22 minut od jego publikacji.
Zarówno specjaliści z Cloudflare, jak i inne firmy zajmujące się bezpieczeństwem, podkreślają, że tempo wykorzystywania ujawnionych luk jest znacznie szybsze niż tempo, w jakim ludzie mogą tworzyć reguły WAF lub wdrażać poprawki.
Nowe kampanie cyberprzestępców
Oprócz działań Void Banshee, odkryto również nową kampanię, w której cyberprzestępcy wykorzystują reklamy na Facebooku promujące fałszywe motywy systemu Windows, aby rozpowszechniać inny stealer znany jako SYS01stealer.
Ten ostatni koncentruje się na wykradaniu danych przeglądarki, takich jak dane uwierzytelniające, historia i ciasteczka, a także na przejmowaniu kont biznesowych na Facebooku.
Trustwave informuje, że SYS01 ma na celu zdobywanie tokenów dostępu do kont Facebook, szczególnie tych z kontami biznesowymi, co umożliwia dalsze rozprzestrzenianie złośliwego oprogramowania.
Odkrycia dotyczące grupy Void Banshee i ich metod działania pokazują, jak ważne jest szybkie reagowanie na nowe zagrożenia w cyberprzestrzeni. Firmy i organizacje muszą być na bieżąco z aktualizacjami zabezpieczeń i wdrażać odpowiednie środki ochrony, aby minimalizować ryzyko ataków.
