Прошло более двух лет с тех пор, как Internet Explorer 11 был официально выведен из эксплуатации, однако наследие этого браузера продолжает бросать длинную тень. В неожиданном повороте событий, киберпреступники используют остатки этого когда-то популярного браузера для осуществления своих зловещих схем. Группа, стоящая за этими атаками, известная как Void Banshee, уже некоторое время находится под пристальным наблюдением компании Trend Micro.
Internet Explorer
Недавние разоблачения всплыли после того, как Microsoft раскрыла уязвимость, идентифицированную как CVE-2024-43461. Эта уязвимость стала ключевым инструментом для Void Banshee, позволяя им проникать в системы по всей Европе, Северной Америке и Юго-Восточной Азии. Их цели часто остаются уязвимыми для кражи конфиденциальной информации, включая файлы cookie и пароли.
В своей сложной атакующей кампании Void Banshee использовали не только CVE-2024-43461, но и другую уязвимость, CVE-2024-38112, которая была исправлена в июле. Обе уязвимости могут быть активированы через специально созданные .url файлы, что позволяет возрождению Internet Explorer, несмотря на его официальную кончину. Остатки этого браузера все еще остаются в Windows, позволяя ему быть невольно активированным.
Добавляя еще один уровень сложности, злоумышленники использовали поддержку Windows для Брайля в своих интересах. Замаскировав .hta (HTML) файл под PDF, они создали документ, предназначенный для слабовидящих, который содержал скрытые инструкции в пробелах, умело обходя стандартные предупреждения Windows. Пользователи сталкивались с выбором: открыть или сохранить файл. Если они выбирали открыть его, Internet Explorer оживал, прокладывая путь для установки Atlantida InfoStealer. Это коварное программное обеспечение предназначено для сбора файлов cookie, паролей и имен пользователей, демонстрируя, как Internet Explorer продолжает существовать в состоянии зомби в Windows, оставаясь уязвимым для эксплуатации.
Несмотря на скрытую природу этих атак, существуют эффективные меры защиты. Решения безопасности, такие как те, что предлагает Symantec, предоставляют встроенную защиту от выполнения .url файлов, которые активируют Internet Explorer. По мере того как организации ориентируются в этом сложном ландшафте, осведомленность и проактивные меры безопасности остаются первостепенными в защите от таких наследственных угроз.
Также читайте:
