Kilka dni temu zaobserwowano, iż nieznane grupy hakerskie wykorzystują załataną lukę w zabezpieczeniach programu Microsoft MSHTML w celu dostarczania narzędzia do szpiegowania o nazwie MerkSpy. Złośliwe kampanie skierowane są głównie do użytkowników w Kanadzie, Indiach, USA i Polsce.
„MerkSpy ma na celu potajemne monitorowanie działań użytkowników, przechwytywanie poufnych informacji i ustalanie trwałości w zaatakowanych systemach” – stwierdziła Cara Lin, badaczka z Fortinet FortiGuard Labs, w raporcie opublikowanym w zeszłym tygodniu.
Punktem wyjścia łańcucha ataków jest dokument programu Microsoft Word, który rzekomo zawiera opis stanowiska pracy inżyniera oprogramowania. Otwarcie pliku powoduje wykorzystanie CVE-2021-40444), luki w MSHTML o dużej wadze, która może skutkować zdalnym wykonaniem kodu bez konieczności jakiejkolwiek interakcji ze strony użytkownika. Microsoft rozwiązał ten problem w ramach aktualizacji wprowadzanych we wrześniu 2021 roku, jednak stare systemy operacyjne nieotrzymujące aktualizacji oczywiście pozostały podatne.
Luka w tym przypadku umożliwia pobranie pliku HTML („olerender.html”) ze zdalnego serwera, który z kolei inicjuje wykonanie osadzonego kodu powłoki po sprawdzeniu wersji systemu operacyjnego.
„Olerender.html” wykorzystuje technologię „VirtualProtect” do modyfikowania uprawnień do pamięci, umożliwiając bezpieczne zapisanie zdekodowanego kodu powłoki w pamięci.
Następnie „CreateThread” wykonuje wstrzyknięty kod powłoki, przygotowując grunt pod pobranie i wykonanie kolejnego ładunku z serwera osoby atakującej. Proces ten zapewnia bezproblemowe działanie złośliwego kodu, co ułatwia dalsze wykorzystanie.
Kod powłoki służy do pobierania pliku o „legalnej” nazwie „GoogleUpdate”, ale w rzeczywistości zawiera ładunek odpowiedzialny za unikanie wykrycia przez oprogramowanie zabezpieczające oraz ładuje MerkSpy do pamięci.
Schemat ataku; źródło: fortinet.comOprogramowanie szpiegowskie utrwala się na hoście poprzez zmiany w rejestrze Windows, dzięki czemu jest uruchamiane automatycznie po starcie systemu. Oferuje także możliwości tajnego przechwytywania poufnych informacji, monitorowania działań użytkowników i wydobywania danych na serwery C&C.
Dane obejmują zrzuty ekranu, naciśnięcia klawiszy, dane logowania przechowywane w przeglądarce Google Chrome oraz dane z rozszerzenia przeglądarki MetaMask, czyli najpopularniejszego portfela kryptowalutowego. Wszystkie te informacje są przesyłane pod adres URL „45.89.53[.]46/google/update[.]php.
Dzieje się tak po tym, jak Symantec szczegółowo opisał szeroką kampanię skierowaną do użytkowników w USA, w której rozsyłano pobieżne wiadomości SMS rzekomo pochodzące od Apple i mające na celu nakłonienie odbiorców do kliknięcia fałszywych stron zbierających dane uwierzytelniające („signin.authen-connexion[.]info/icloud”) „celem dalszego korzystania z usług Apple”.
Telemetria złośliwej kampanii; źródło: fortinet.com
