A equipe da Trend Micro identificou que um grupo avançado de ameaças persistentes (APT) chamado Void Banshee está explorando uma vulnerabilidade recentemente divulgada no mecanismo do navegador Microsoft MHTML. Essa falha, identificada como CVE-2024-38112, está sendo utilizada como um zero day para distribuir um infostealer conhecido como Atlantida. A atividade foi observada em meados de maio de 2024 e envolve uma cadeia de ataque em múltiplos estágios, utilizando arquivos de atalho de internet (URL) especialmente criados.

Os pesquisadores destacaram que as variações da campanha Atlantida têm sido altamente ativas ao longo de 2024, adaptando-se para explorar a CVE-2024-38112 nas cadeias de infecção do Void Banshee. Eles ressaltaram que a capacidade de grupos APT como o Void Banshee de explorar serviços desativados, como o Internet Explorer, representa uma ameaça significativa para organizações em todo o mundo. A CVE-2024-38112 foi tratada pela Microsoft na atualização de Patch Tuesday da semana passada.

Descrita pela Microsoft como uma vulnerabilidade de spoofing no mecanismo MSHTML (também conhecido como Trident) do descontinuado Internet Explorer, a Zero Day Initiative (ZDI) a classificou como uma falha de execução remota de código. As cadeias de ataque envolvem e-mails de spear-phishing com links para arquivos ZIP em sites de compartilhamento de arquivos, que contêm arquivos URL explorando a CVE-2024-38112 para redirecionar a vítima para um site comprometido hospedando um aplicativo HTML malicioso (HTA).