🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND tỉnh Phú Yên đã đăng ký tín nhiệm. 🔥                    🔥 Liên đoàn Lao động tỉnh Bà Rịa - Vũng Tàu đã đăng ký tín nhiệm. 🔥                    🔥 Công an thành phố Thái Nguyên đã đăng ký tín nhiệm. 🔥                   

Tin tặc lạm dụng "khoảng trắng" trong các cuộc tấn công khai thác lỗ hổng zero-day Windows để phán tán mã độc

16/09/2024

Lỗ hổng giả mạo Windows MSHTML mới được khắc phục gần đây, CVE-2024-43461, hiện được xác định là đã từng bị khai thác sau khi bị nhóm tin tặc Void Banshee APT lạm dụng trong các cuộc tấn công.

Khi được tiết lộ lần đầu như một phần của Patch Tuesday tháng 9 năm 2024, Microsoft không đánh dấu lỗ hổng này là đã bị khai thác trước đó. Tuy nhiên, vào thứ Sáu, Microsoft đã cập nhật tư vấn bảo mật cho CVE-2024-43461 để chỉ ra rằng lỗ hổng đã bị khai thác trong các cuộc tấn công trước khi được khắc phục.

Người phát hiện ra lỗ hổng này là Peter Girnus thuộc Trend Micro's Zero Day. Ông cho biết rằng CVE-2024-43461 đã bị Void Banshee khai thác trong các cuộc tấn công zero-day để cài đặt mã độc đánh cắp thông tin.

Void Banshee là một nhóm APT nhắm vào các tổ chức ở Bắc Mỹ, Châu Âu và Đông Nam Á để đánh cắp dữ liệu và kiếm lợi nhuận.

Zero-day CVE-2024-43461

Vào tháng 7, Check Point Research và Trend Micro đều báo cáo về các cuộc tấn công tương tự khai thác lỗ hổng zero-day của Windows để phát tán phần mềm đánh cắp thông tin Atlantida, được sử dụng để đánh cắp mật khẩu, cookie xác thực và thông tin ví tiền điện tử từ các thiết bị bị nhiễm.

Các cuộc tấn công sử dụng lỗ hổng zero-day CVE-2024-38112 (đã được khắc phục vào tháng 7) và CVE-2024-43461 (đã được khắc phục trong tháng này).

Nhà nghiên cứu Haifei Li của Check Point, người đã phát hiện ra CVE-2024-38112, cho biết lỗ hổng này được dùng để buộc Windows mở các trang web độc hại trong Internet Explorer thay vì Microsoft Edge khi khởi chạy các tệp shortcut độc hại.

"Cụ thể, những kẻ tấn công đã sử dụng các tệp Windows Internet Shortcut đặc biệt (có phần mở rộng là .url), khi nhấp vào, sẽ gọi trình duyệt Internet Explorer (IE) [đã bị ngưng sử dụng] để truy cập URL do kẻ tấn công kiểm soát", Li giải thích trong báo cáo Nghiên cứu Check Point vào tháng 7.

Các URL này được sử dụng để tải xuống tệp HTA độc hại và nhắc người dùng mở tệp đó. Khi mở, một tập lệnh sẽ được thực thi để cài đặt Atlantida.

Các tệp HTA sử dụng lỗ hổng zero-day CVE-2024-43461 để ẩn phần mở rộng tệp HTA và làm cho tệp xuất hiện dưới dạng PDF khi Windows cảnh báo người dùng có nên mở tệp hay không.

Nhà nghiên cứu Peter Girnus của ZDI cho biết rằng CVE-2024-43461 cũng được sử dụng trong các cuộc tấn công Void Banshee để tạo ra vấn đề CWE-451 thông qua tên tệp HTA bao gồm 26 ký tự khoảng trắng được mã hóa (%E2%A0%80) để ẩn phần mở rộng .hta.

Khi Windows mở tệp này, các ký tự khoảng trắng đẩy phần mở rộng HTA ra xa, chỉ được phân định bằng chuỗi '...' trong lời nhắc của Windows, như được thấy bên dưới. Điều này khiến các tệp HTA xuất hiện dưới dạng tệp PDF, khiến chúng có nhiều khả năng được mở hơn.

Sau khi cài đặt bản cập nhật bảo mật cho CVE-2024-43461, Girnus cho biết khoảng trắng không bị xóa, nhưng Windows sẽ hiển thị phần mở rộng .hta thực tế của tệp trong cảnh báo.

Tuy nhiên, khoảng trắng đi kèm này có thể vẫn khiến mọi người nhầm tưởng rằng tệp là tệp PDF chứ không phải HTA.

Nguồn: bleepingcomputer.com.

scrolltop