Неизвестные хакеры используют уязвимость в Microsoft MSHTML для распространения шпионского ПО MerkSpy, нацеленное на пользователей в Канаде, Индии, Польше и США. Уязвимость была давно исправлена, но злоумышленники продолжают активно эксплуатировать её, атакую необновлённые системы.
Кара Лин, исследователь из Fortinet, рассказала,что MerkSpy скрытно следит за действиями пользователей, захватывает конфиденциальную информацию и обеспечивает постоянное присутствие на заражённых системах.
Атака начинается с открытия документа Microsoft Word, который содержит описание вакансии программиста. Открытие файла активирует эксплуатацию уязвимости CVE-2021-40444, что приводит к удалённому выполнению кода без взаимодействия с пользователем.
Этот процесс загружает HTML-файл (“olerender.html”) с удалённого сервера, который запускает встроенный шелл-код после проверки версии операционной системы. “Olerender.html” использует функцию “VirtualProtect” для изменения разрешений памяти, что позволяет записать декодированный шелл-код в память. Затем “CreateThread” запускает внедрённый шелл-код, подготавливая загрузку и выполнение следующего вредоносного кода с сервера злоумышленников.
Шелл-код загружает файл под именем “GoogleUpdate”, который, на самом деле, содержит полезную нагрузку инжектора, скрывающуюся от антивирусного ПО и загружающую MerkSpy в память системы. Шпионское ПО сохраняет своё присутствие на устройстве через изменения в реестре Windows, обеспечивая автоматический запуск при старте системы.
MerkSpy способен захватывать скриншоты, фиксировать нажатия клавиш, собирать данные для входа, хранящиеся в Google Chrome, и данные из расширения MetaMask для управления криптокошельками. Все собранные данные отправляются на сервер злоумышленников.
Рассмотренный компанией Fortinet инцидент подчёркивает, насколько изощренными стали современные киберугрозы. Он наглядно демонстрирует, что даже обычные рабочие процессы, такие как рассмотрение резюме кандидатов, могут стать вектором атаки для злоумышленников. Этот случай служит напоминанием о необходимости комплексного подхода к кибербезопасности, включающего не только технические меры защиты, но и повышение осведомлённости сотрудников о потенциальных рисках.