Uma vulnerabilidade recentemente corrigida no Windows, chamada de “Windows MSHTML spoofing vulnerability” e rastreada como CVE-2024-43461, foi marcada como previamente explorada em ataques realizados pelo grupo de hackers APT conhecido como Void Banshee. O problema veio à tona quando a Microsoft lançou seu Patch Tuesday de setembro de 2024. Inicialmente, a empresa não havia identificado a falha como já explorada, mas atualizou o aviso em 8 de setembro para confirmar que a falha estava sendo usada em ataques antes de ser corrigida. A descoberta da vulnerabilidade foi creditada a Peter Girnus, pesquisador sênior de ameaças da Trend Micro, que explicou que o grupo Void Banshee explorou essa falha em ataques zero-day para instalar um malware de roubo de informações.

O Void Banshee é um grupo APT que tem como alvo organizações na América do Norte, Europa e Sudeste Asiático, visando roubar dados e obter ganhos financeiros. A falha foi explorada utilizando caracteres de “espaço” em braille, escondendo a extensão verdadeira de arquivos maliciosos (no caso, arquivos .hta) quando exibidos no Windows. Essa tática induz as vítimas a acreditar que estão abrindo um arquivo PDF legítimo, quando, na verdade, estão executando um script malicioso. A atualização de segurança da Microsoft agora exibe a extensão correta do arquivo .hta, mesmo que os caracteres em braille estejam presentes.

No entanto, a correção da Microsoft não é perfeita. Embora a extensão correta seja mostrada, os espaços em branco ainda podem confundir as vítimas, fazendo-as acreditar que estão lidando com um arquivo seguro, como um PDF. Isso mostra a engenhosidade dos hackers do Void Banshee em encontrar formas criativas de enganar os usuários e contornar as defesas do sistema operacional.