Cibercriminosos usam vulnerabilidade de zero-day do Internet Explorer

Investigadores de cibersegurança da Check Point descobriram que cibercriminosos estão ativamente a atacar utilizadores do Windows através de uma vulnerabilidade zero-day do Internet Explorer. A empresa de cibersegurança Trend Micro descobriu a vulnerabilidade CVE-2024-38112, uma vulnerabilidade de execução remota do código explorada pelo grupo APT Void Banshee.

O ataque utiliza atalhos da internet e gestores de protocolos da Microsoft, o que inclui MHTML, para aceder ao Internet Explorer desativado e para executar código malicioso. A vulnerabilidade é utilizada para instalar o programa de roubo Atlantida, ativo desde janeiro, com alvos na América do Norte, Europa e Sudoeste Asiático para roubo de informação.

O grupo de cibercriminosos Void Banshee exploraram a vulnerabilidade ao usar ficheiros de URL feitos especificamente com gestores de protocolo de MHTML e diretivas para aceder e executar ficheiros HTA através do processador do Internet Explorer desativado.

O método utilizado pelo grupo contorna a descontinuação do Internet Explorer, explorando a historicamente grande superfície de ataque. De acordo com o relatório, a Microsoft corrigiu a vulnerabilidade em julho deste ano, cancelando o registo do manipulador MHTML do Internet Explorer.

Apesar da desativação do Internet Explorer, os atacantes exploram a presença da aplicação para instalar ferramentas de ransomware e outros softwares perigosos. Uma resposta rápida combinada com soluções complexas de segurança é recomendada para a resolução da vulnerabilidade e salvaguarda dos sistemas.