Microsoft ha rilasciato la patch per una vulnerabilità di Windows il 10 settembre. L’azienda di Redmond ha aggiornato il corrispondente bollettino di sicurezza per specificare che esiste un exploit in circolazione. Come ha scoperto un ricercatore di Trend Micro, gli attacchi sono stai effettuati dal gruppo Void Banshee.
File HTA con spazi Braille
I cybercriminali hanno sfruttato la vulnerabilità zero-day, indicata con CVE-2024-43461, per distribuire un infostealer. Una tecnica simile era stata già utilizzata nel mese di luglio per lo stesso tipo di bug presente in MSHTML (CVE-2024-38112), il motore di rendering di Internet Explorer (ancora installato in Windows).
I cybercriminali creano uno speciale file Windows Internet Shortcut con estensione .url
che, quando cliccato, forza l’uso di Internet Explorer per effettuare il download di un file HTA. Se aperto viene eseguito uno script che installa Atlantida, un infostealer che ruba password, cookie e wallet di criptovaluta.
La nuova versione del file HTA sfrutta la vulnerabilità CVE-2024-43461. L’utente vede un file con estensione PDF perché l’estensione HTA è nascosta da 26 caratteri Braille di spazio (%E2%A0%80). Gli spazi aggiunti non permettono di visualizzare la reale estensione nell’interfaccia utente (si vedono solo tre puntini …).
Dopo aver installato la patch si può vedere la vera estensione HTA, ma gli spazi non vengono eliminati. Il fix non è perfetto perché gli utenti potrebbero essere ancora ingannati. Oltre agli aggiornamenti di sicurezza è preferibile installare anche un buon antivirus che rileva le minacce più recenti.