Se ha observado que actores de amenazas desconocidos explotan una vulnerabilidad de seguridad ahora parcheada en Microsoft MSHTML para proporcionar una herramienta de monitoreo llamada MerkSpy como parte de una campaña dirigida principalmente a usuarios de Canadá, India, Polonia y Estados Unidos
“MerkSpy está diseñado para monitorear subrepticiamente las actividades de los usuarios, capturar información confidencial y establecer persistencia en sistemas comprometidos”, explica Cara Lin, investigadora de Fortinet FortiGuard Labs. dicho en un informe publicado la semana pasada.
El punto de partida de la cadena de ataque es un documento de Microsoft Word que aparentemente contiene una descripción del puesto de ingeniero de software.
Pero abrir el archivo desencadena la explotación de CVE-2021-40444, una falla de alta gravedad en MSHTML que podría conducir a la ejecución remota de código sin requerir la interacción del usuario. Microsoft solucionó esta falla como parte de las actualizaciones del martes de parches lanzadas en septiembre de 2021.
En este caso, allana el camino para descargar un archivo HTML (“olerender.html”) desde un servidor remoto que, a su vez, inicia la ejecución de un código shell incrustado después de comprobar la explotación de la versión del sistema.
“Olerender.html” aprovecha “‘VirtualProtect’ para modificar los permisos de memoria, permitiendo que el código shell decodificado se escriba de forma segura en la memoria”, explicó Lin.
“A continuación, CreateThread ejecuta el código shell inyectado, preparando el escenario para descargar y ejecutar la siguiente carga útil desde el servidor del atacante. Este proceso garantiza que el código malicioso se ejecute de forma transparente, lo que facilita su explotación. »
El código shell sirve como descargador de un archivo engañosamente titulado “GoogleUpdate” pero que, en realidad, alberga una carga útil de inyección responsable de evadir la detección del software de seguridad y cargar MerkSpy en la memoria.
El software espía se instala en el host mediante cambios en el registro de Windows, por lo que se inicia automáticamente al iniciar el sistema. También viene con funciones para capturar subrepticiamente información confidencial, monitorear las actividades de los usuarios y exfiltrar datos a servidores externos bajo el control de actores de amenazas.
Esto incluye capturas de pantalla, pulsaciones de teclas, credenciales de inicio de sesión almacenadas en Google Chrome y datos de la extensión del navegador MetaMask. Toda esta información se transmite a la URL “45.89.53[.]46/google/actualización[.]PHP.”
El desarrollo se produce cuando Symantec detalló una campaña de smishing dirigida a usuarios en los Estados Unidos con mensajes SMS cuestionables que afirman ser de Apple y tienen como objetivo engañarlos para que hagan clic en páginas falsas de recolección de credenciales (“signin.authen-connection”).[.]info/icloud”) para poder seguir utilizando los servicios.
“Se puede acceder al sitio web malicioso desde navegadores de escritorio y móviles”, dijo la empresa propiedad de Broadcom. dicho“Para agregar una capa de legitimidad percibida, implementaron un CAPTCHA para que los usuarios lo completaran. Después de eso, los usuarios son llevados a una página web que imita una plantilla de inicio de sesión de iCloud obsoleta. »