Эта коварная вредоносная программа пыталась использовать символы Брайля для обхода уязвимостей безопасности Windows

Знаете ли вы, какие типы файлов вы открываете?

(Изображение предоставлено: Shutterstock)

В операционной системе Windows (ОС) была уязвимость, которая позволяла скрывать истинное расширение файла, что позволяло хакерам использовать и распространять файлы, которые выглядели как документы .PDF, но на самом деле представляли собой файлы .HTA, превращенные в оружие.

В последнем накопительном обновлении Patch Tuesday компания Microsoft исправила уязвимость, описанную как «уязвимость подмены Windows MSHTML» и отслеживаемую как CVE-2024-43461. Эта уязвимость, по-видимому, использовалась злоумышленником, известным как Void Banshee, для развертывания инфокрада Atlantida.

В ходе атаки мошенники сначала создают вредоносный файл .HTA. Файл .HTA означает HTML Application, и это тип файла, который позволяет запускать HTML как отдельное приложение. В отличие от типичных веб-страниц, которые запускаются в браузере, файлы .HTA запускаются с большими привилегиями, как и настольные приложения, и могут получать доступ к системным ресурсам.

Атлантида инфокрад

Затем они использовали уязвимость, чтобы добавить двадцать шесть повторяющихся закодированных пробельных символов Брайля к имени файла. Таким образом, когда пользователь просматривал файл на своем компьютере, фактический тип файла был скрыт, обманывая жертву, заставляя ее думать, что она просматривает файл .PDF. Запуск файла устанавливал инфокрад Atlantida, который собирал и извлекал конфиденциальные данные, информацию для входа и многое другое.

Развертывание файла .HTA на устройстве было выполнено через файл ярлыка, используемый в качестве оружия (.URL). Этот файл, скорее всего, был доставлен с помощью фишинга или социальной инженерии.

«В частности, злоумышленники использовали специальные файлы ярлыков Интернета Windows (расширение .url), при нажатии на которые вызывался устаревший Internet Explorer (IE) для посещения контролируемого злоумышленником URL-адреса», — поясняет Check Point Research в недавней статье, сообщает BleepingComputer .

Ошибка была исправлена в последнем обновлении Patch Tuesday. Теперь, когда пользователь пытается открыть файл .HTA, фактический тип файла не будет скрыт. Однако он все равно будет смещен вправо благодаря нескольким пробельным символам Брайля, что все еще может сбивать с толку некоторых людей.

Шампунь для транспортных средств Stihl CC 100 1л 0782-516-9300