(https://i.imgur.com/Cn3ZK76.png)
Se ha detectado que actores de amenazas desconocidos explotan una vulnerabilidad en Microsoft MSHTML, ahora parcheada, para distribuir la herramienta de vigilancia MerkSpy. Esta campaña está dirigida principalmente a usuarios en Canadá, India, Polonia y EE. UU.
"MerkSpy está diseñado para monitorear clandestinamente las actividades de los usuarios, capturar información confidencial y establecer la persistencia en los sistemas comprometidos", afirmó Cara Lin, investigadora de Fortinet FortiGuard Labs, en un informe reciente.
Ataque Iniciado con Documento de WordEl ataque comienza con un documento de Microsoft Word que parece contener una descripción de trabajo para un rol de ingeniero de software. Al abrir el archivo, se desencadena la explotación de CVE-2021-40444, una vulnerabilidad crítica en MSHTML que permite la ejecución remota de código sin necesidad de interacción del usuario. Microsoft solucionó esta falla en las actualizaciones de Patch Tuesday de septiembre de 2021.
En este caso, la explotación descarga un archivo HTML ("olerender.html") desde un servidor remoto. Este archivo inicia la ejecución de un shellcode incrustado tras verificar la versión del sistema operativo.
"Olerender.html" utiliza 'VirtualProtect' para modificar los permisos de memoria, permitiendo que el shellcode decodificado se escriba en la memoria de forma segura. Luego, 'CreateThread' ejecuta el shellcode, preparando el escenario para descargar y ejecutar la siguiente carga útil desde el servidor del atacante. Este proceso asegura que el código malicioso se ejecute sin problemas, facilitando una mayor explotación.
Persistencia y Evitación de DetecciónEl shellcode actúa como un descargador para un archivo denominado "GoogleUpdate", que en realidad alberga una carga útil de inyector. Este inyector evade la detección del software de seguridad y carga MerkSpy en la memoria. El spyware establece persistencia en el host mediante cambios en el Registro de Windows, asegurando su inicio automático al encender el sistema.
MerkSpy captura información confidencial, monitorea actividades de los usuarios y filtra datos a servidores controlados por los atacantes. Esto incluye capturas de pantalla, pulsaciones de teclas, credenciales de inicio de sesión almacenadas en Google Chrome y datos de la extensión del navegador MetaMask. Toda esta información se transmite a la URL "45.89.53[.]46/google/update[.]php".
Desarrollo Reciente y Campañas de SmishingEste desarrollo coincide con la detección de una campaña de smishing por Symantec, dirigida a usuarios en EE. UU. Los atacantes envían mensajes SMS incompletos que pretenden ser de Apple, engañando a los usuarios para que hagan clic en páginas falsas de recolección de credenciales ("signin.authen-connexion[.]info/iCloud").
"Se puede acceder al sitio web malicioso desde navegadores de escritorio y móviles", informó Symantec. "Para agregar una capa de legitimidad percibida, han implementado un CAPTCHA que los usuarios deben completar. Luego, los usuarios son dirigidos a una página web que imita una plantilla de inicio de sesión de iCloud obsoleta".
La explotación de la vulnerabilidad MSHTML y la distribución de MerkSpy subrayan la necesidad de estar atentos y mantener los sistemas actualizados. La vigilancia continua y la adopción de medidas de seguridad adecuadas son esenciales para protegerse contra estas amenazas emergentes.
Fuente: https://thehackernews.com