A Trend Micro állítása szerint a Void Banshee névre keresztelt APT kihasznált egy Windows zero-day sérülékenységet, és így kódot tudott futtatni a letiltott Internet Exploreren keresztül.
A sebezhetőség a CVE-2024-38112 azonosítón követhető, CVSS pontszáma 7,5. A sérülékenységet a Microsoft javította a 2024 júliusi Patch Tuesday keretén belül, körülbelül két hónappal azután, hogy a Trend Micro felfedezte az aktív kihasználását. A Void Banshee észak-amerikai, európai és dél-ázsiai szervezeteket céloz meg információlopás és pénzügyi haszon érdekében, mindezt az Atlantida stealer malware család alkalmazásával.
A megfigyelt támadásokban az APT internetes parancsikon (URL) fájlokat használt fel, hogy kihasználja az MSHTML protokollkezelőt, és az x-usc direktívát úgy, hogy közvetlenül kódot tudjon végrehajtani a már letiltott Internet Exploreren keresztül.
Ugyan az Explorert 2022-ben megszüntették, továbbra is megbújik a Windows platformokon, még a legújabb kiadásokban is, tény, az átlagos felhasználó számára nem elérhető módon. Ha egy felhasználó mégis el akarná indítani, automatikusan az Edge indulna el helyette. Ennek ellenére a CVE-2024-38112 kihasználásával a Void Banshee képes volt olyan URL parancsikonokat létrehozni, amik HTML Application (HTA) fájlok végrehajtásához vezetnek a letiltott iexplore.exe folyamaton keresztül.
A támadás egy adathalász üzenettel kezdődik. Ez az üzenet tartalmazza a káros parancsikonokat, amelyek könyvek pdf másolatainak álcázták magukat, így ösztönözve a felhasználót a megnyitásra. A zero-day kihasználásával megnyílik a letiltott Internet Explorer, ami az áldozatot egy kompromittált weboldalra irányítja, ami rosszindulatú HTA fájlt tartalmaz. Alapértelmezés szerint az Explorer megkérdezi a felhasználót, hogy menteni, vagy futtatni szeretné-e az alkalmazást, azonban a támadó szóközöket adott a rosszindulatú HTA fájl kiterjesztéséhez, így a támadó azt hitte PDF fájlt tölt le.
A következő lépésben lefut a HTA fájl, ami több sornyi szkript végrehajtását eredményezi. Így lefutásra kerül a LoadToBadXml .NET trójai loader, és egy Donut shellcode. Ezen felül végrehajtásra kerül az Atlantida stealer a memóriában. A malware jelszavakat és egyéb információkat lop olyan platformokból, mint a FileZilla, a Steam, a Telegram, de nem kíméli a kriptovaluta tárcákat, és a böngészőket sem. Ezek mellett képes rögzíteni az áldozat képernyőjét, fájlokat lopni, és rendszerinformációkat gyűjteni.
