Windows操作系统(OS)具有一个漏洞,使人们可以隐藏文件的真实扩展名,黑客能够使用和分发看起来像.pdf文档的文件,但实际上是武器化的.hta文件。
在最近的补丁星期二累积更新中,微软解决了一个描述为“ Windows Mshtml欺骗脆弱性”的缺陷,并将其跟踪为CVE-2024-43461。这个缺陷显然被称为“ void banshee”的威胁行为者使用,以部署亚特兰蒂达的弱油者。
在攻击中,骗子将首先创建一个恶意.hta文件。.HTA文件代表HTML应用程序,它是一种文件类型,允许HTML作为独立应用程序执行。与在浏览器中运行的典型网页不同,.hta文件具有更多特权,类似于桌面应用程序,并且可以访问系统资源。
你可能喜欢
研究发现,将近四分之一的HTML附件是恶意的
WhatsApp补丁令人担忧的漏洞,允许黑客将.exe文件作为图像共享。
Microsoft SharePoint被劫持以传播破坏恶意软件
Atlantida Infostealer
然后,他们会滥用脆弱性,以将26个重复编码的盲文字符添加到文件的名称中。这样,当用户在其计算机上查看文件时,实际的文件类型将被隐藏起来,诱使受害者认为他们正在查看.pdf文件。运行文件将安装Atlantida InfoStealer,该InfoStealer将拾取并删除敏感的数据,登录信息等。
将.HTA文件部署到设备上是通过武器化快捷方式文件(.URL)完成的。该文件很可能是通过网络钓鱼或社会工程来交付的。
Check Point Research在最近的论文BleePingComputer报告中解释说:“具体来说,攻击者使用了特殊的Windows Internet快捷键文件(.URL扩展名),当单击时,它会致电退休的Internet Explorer(IE)访问攻击者控制的URL。”
该错误已通过最新的补丁星期二更新修复。现在,当用户尝试打开.HTA文件时,实际的文件类型将不会隐藏。但是,由于多个盲文Whitespace角色,它仍然会将其推向右边,这可能仍然使某些人感到困惑。
你是专业人士吗?订阅我们的新闻通讯
注册techradar Pro新闻通讯,以获取您的业务成功所需的所有首选,意见,功能和指导!取得成功!请与我联系我们的其他未来品牌的新闻,并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息,您同意您同意的条款和隐私政策,并年龄在16岁或超过16岁之间。
Techradar Pro的更多信息
我们在选举Intervery Crackdownhere中抓住的宣传页面的宣传页面,当今这些最佳防火墙是目前最好的端点安全工具
