Atlantida: el nuevo virus espía que robará todos tus secretos

Se ha observado que el grupo de hackers Void Banshee está explotando una vulnerabilidad recientemente descubierta en MSHTML para propagar el malware Atlantida. Esta vulnerabilidad, registrada como CVE-2024-38112, se utiliza en ataques de múltiples etapas empleando accesos directos de Internet especialmente diseñados que conducen a la ejecución del navegador Internet Explorer, obsoleto e inseguro.

Trend Micro detectó la actividad de Void Banshee a mediados de mayo de 2024. Este grupo es conocido por sus ataques en Norteamérica, Europa y el Sudeste Asiático con el objetivo de robar información y obtener beneficios financieros. Los investigadores señalaron que la campaña Atlantida ha sido particularmente activa este año y recientemente adaptó la vulnerabilidad CVE-2024-38112 para sus cadenas de infección.

Los expertos subrayan que la capacidad de los grupos APT, como Void Banshee, para explotar con éxito servicios del sistema Windows desactivados, como Internet Explorer, representa una seria amenaza para organizaciones de todo el mundo.

Anteriormente, Check Point informó sobre una campaña que utilizaba la misma vulnerabilidad para propagar otro malware. Microsoft corrigió la vulnerabilidad CVE-2024-38112 la semana pasada como parte de las actualizaciones de Patch Tuesday.

Microsoft describe CVE-2024-38112 como una vulnerabilidad de suplantación en MSHTML utilizada en el navegador Internet Explorer desactivado. Sin embargo, Zero Day Initiative (ZDI) afirma que debería clasificarse como una vulnerabilidad de ejecución remota de código (RCE).

Las cadenas de ataque incluyen el uso de correos electrónicos de phishing con enlaces a archivos ZIP que contienen archivos URL que explotan CVE-2024-38112 para redirigir a la víctima a un sitio comprometido con una aplicación HTML maliciosa (HTA).

La apertura del archivo HTA ejecuta un script Visual Basic que descarga y ejecuta un script PowerShell, el cual a su vez descarga una carga útil troyana.NET. Esto ocasiona el descifrado y ejecución del infostealer Atlantida en la memoria del proceso RegAsm.exe.

Atlantida, basado en los códigos abiertos NecroStealer y PredatorTheStealer, está diseñado para extraer archivos, capturas de pantalla, geolocalización y datos confidenciales de navegadores web y otras aplicaciones, incluyendo Telegram, Steam, FileZilla y varias carteras de criptomonedas.

El grupo Void Banshee utilizó archivos URL especialmente diseñados con el manejador de protocolo MHTML y la directiva x-usc!, lo que les permitió ejecutar archivos HTA a través del proceso IE desactivado. Este método es similar a la vulnerabilidad CVE-2021-40444, que también se utilizó en ataques de día cero.

Investigaciones recientes muestran que los atacantes integran muy rápidamente los exploits PoC en sus arsenales, a veces incluso en 22 minutos después de su lanzamiento público, como fue el caso con CVE-2024-27198. Esto subraya que la velocidad de explotación de los CVE identificados a menudo supera la velocidad de creación de reglas WAF o la implementación de parches para mitigar los ataques.

Los componentes desactivados o raramente utilizados pueden convertirse en un punto de entrada inesperado para los atacantes, poniendo en riesgo toda la infraestructura de una organización. La actualización regular y la auditoría minuciosa de todos los elementos del entorno IT, incluidos los ocultos o considerados inactivos, deben convertirse ahora en una parte integral de la estrategia de ciberseguridad de cualquier empresa moderna.