Existe una vulnerabilidad en el sistema operativo (SO) Windows que permite a los piratas informáticos ocultar la verdadera extensión de un archivo, lo que les permite crear archivos que parecen documentos .PDF pero que en realidad son archivos .HTA convertidos en armas. Pude distribuir un archivo que sí lo es. un archivo.
En la última actualización acumulativa de Patch Tuesday, Microsoft abordó una falla descrita como “Vulnerabilidad de suplantación de MSHTML de Windows” y rastreada como CVE-2024-43461. Esta falla parece haber sido utilizada por un actor de amenazas conocido como Void Banshee para implementar el ladrón de información Atlantida.
El ataque comienza creando un archivo .HTA malicioso. Un archivo .HTA significa Aplicación HTML y es un tipo de archivo que le permite ejecutar HTML como una aplicación independiente. A diferencia de las páginas web típicas que se ejecutan en un navegador, los archivos .HTA se ejecutan con más privilegios y pueden acceder a los recursos del sistema, de forma similar a las aplicaciones de escritorio.
Robador de información de Atlántida
Luego, el atacante aprovecha esta vulnerabilidad agregando repetidamente 26 espacios en Braille al nombre del archivo. Esto oculta el tipo de archivo real cuando el usuario ve el archivo en su computadora, engañando a la víctima haciéndole creer que está viendo un archivo .PDF. Al ejecutar este archivo se instala Atlantida infostealer, que roba datos confidenciales, información de inicio de sesión, etc.
Usamos un archivo de acceso directo armado (.URL) para implementar el archivo .HTA en el dispositivo. Lo más probable es que este archivo se haya entregado mediante phishing o ingeniería social.
“Específicamente, el atacante utiliza un archivo especial de acceso directo a Internet de Windows (nombre de extensión .url) que, cuando se hace clic, llama al obsoleto Internet Explorer (IE) y se conecta a una URL controlada por el atacante, explica Check Point Research en un artículo reciente. Informes BleepingComputer.
Este error se solucionó en la última actualización del martes de parches. Actualmente, cuando un usuario intenta abrir un archivo .HTA, el tipo de archivo real no permanece oculto. Sin embargo, debido a los múltiples espacios en Braille, el tipo de archivo todavía se desplaza hacia la derecha, lo que puede confundir a algunos usuarios.
Más artículos de TechRadar Pro
https://www.techradar.com/pro/security/this-devious-malware-looked-to-exploit-braille-characters-to-breach-windows-security-flaws
