Uma vulnerabilidade recente no Windows, corrigida dia 12/09, foi utilizada por um grupo de hackers conhecido como Void Banshee para realizar ataques zero-day. A falha, identificada com o código CVE-2024-43461, permitia que os atacantes disfarçassem arquivos maliciosos como documentos PDF, enganando as vítimas a abri-los.
O grupo Void Banshee, especializado em ataques direcionados, aproveitou a vulnerabilidade para instalar malware de roubo de informações em dispositivos Windows. A técnica utilizada envolvia a criação de arquivos de atalho (.url) especialmente construídos, que, ao serem clicados, levavam as vítimas a abrir páginas maliciosas em um navegador desatualizado, o Internet Explorer.
Como a vulnerabilidade é usada
Essas páginas maliciosas contêm arquivos HTA (HTML Application) que, quando executados, instalavam o malware de roubo de informações. Para disfarçar esses arquivos HTA como PDFs, os atacantes utilizaram caracteres de espaço em braile codificados, que são invisíveis para o usuário comum. Isso fazia com que o sistema operacional Windows exibisse apenas uma parte do nome do arquivo, omitindo a extensão .hta, o que levava muitas pessoas a acreditar que estavam abrindo um documento PDF inofensivo.
A vulnerabilidade CVE-2024-43461 foi corrigida pela Microsoft em setembro de 2024, mas o patch não resolve completamente o problema. Embora a extensão .hta agora seja visível, os caracteres de espaço em braile ainda podem confundir os usuários.
Além dessa vulnerabilidade, outros três exploits foram corrigidos pela Microsoft no mesmo mês, demonstrando a importância de manter o sistema operacional atualizado para se proteger contra ameaças cibernéticas.