Новости Точки преступления: хакеры маскируют атаки шрифтом Брайля

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Брайль помогает прятать вредоносные файлы для заражения Windows.


zud2qjxyovhls5oe21b7vfj2p90yu26e.jpg


Агентство по кибербезопасности США (CISA) потребовало от федеральных ведомств в кратчайшие сроки обезопасить свои системы от недавно обнаруженной уязвимости в Windows , эксплуатируемой хакерской группировкой Void Banshee.

Уязвимость спуфинга Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 8.8) в Windows MSHTML была Для просмотра ссылки Войди или Зарегистрируйся в рамках Для просмотра ссылки Войди или Зарегистрируйся Microsoft ( Patch Tuesday ). Первоначально считалось, что уязвимость не использовалась в атаках, но позже компания подтвердила факт эксплуатации до того, как проблема была устранена.

По данным Microsoft, ошибка использовалась злоумышленниками ещё до июля 2024 года, являясь частью цепочки атак, включающей ещё одну уязвимость спуфинга— Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 7.5), которая также Для просмотра ссылки Войди или Зарегистрируйся с MSHTML, что позволило хакерам запускать произвольный код на уязвимых системах при открытии вредоносного файла или переходе на специально подготовленную веб-страницу.

Специалисты Trend Micro ZDI, которые обнаружили уязвимость, Для просмотра ссылки Войди или Зарегистрируйся что группировка Void Banshee использовала ошибку для установки инфостилера. В ходе атак киберпреступники маскировали вредоносные HTA-файлы под PDF-документы, скрывая расширение с помощью 26 закодированных Для просмотра ссылки Войди или Зарегистрируйся шрифта Брайля.

Имя файла начиналось с PDF, после чего следовали 26 пробельных символов Брайля, и только затем шло реальное расширение .hta:

Books_A0UJKO.pdf%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80%E2%A0%80.hta

При этом, когда Windows пытается открыть такой файл, символы пробела Брайля скрывают расширение HTA за пределами видимой области, оставляя вместо него «...». В итоге, файл выглядит как PDF-документ, что увеличивает шансы его открытия пользователем.


gbqxgv84qemaj8l2sxjxqv31j6yose7c.png


HTA-файл, замаскированный под PDF

После обновления символы пробела Брайля остаются, но теперь Windows отображает истинное расширение .hta во всплывающих подсказках.


9ll3w830zs3gmeh1b3qxgnkdnxh59l6g.png


Отображение реального расширения файла в диалоговом окне

В атаках использовалось Для просмотра ссылки Войди или Зарегистрируйся которое предназначено для кражи паролей, cookie-файлов аутентификации и криптокошельков с заражённых устройств. Группировка Void Banshee, известная с 2023 года, нацелена на компании в Северной Америке, Европе и Юго-Восточной Азии, стремясь к получению финансовой выгоды и краже данных.

CISA Для просмотра ссылки Войди или Зарегистрируйся уязвимость CVE-2024-43461 в свой каталог Known Exploited Vulnerabilities (KEV) и обязало федеральные агентства устранить уязвимости до 7 октября. Согласно директиве BOD Для просмотра ссылки Войди или Зарегистрируйся , ведомства должны в течение 3-х недель установить обновления, чтобы предотвратить дальнейшие атаки.

CISA подчёркивает, что подобные уязвимости являются частыми векторами атак, представляя серьёзную угрозу для государственных организаций. В связи с этим не только федеральным агентствам, но и частным компаниям по всему миру настоятельно рекомендуется как можно скорее принять меры по защите своих систем.

Стоит отметить, что в сентябрьских обновлениях Microsoft исправила ещё 3 активно эксплуатируемых уязвимости, включая CVE-2024-38217. Для просмотра ссылки Войди или Зарегистрируйся использовалась с 2018 года в атаках, направленных на обход систем безопасности Windows, таких как Smart App Control и Mark of the Web (MotW).
 
Источник новости
www.securitylab.ru

Похожие темы