Menu dostępności

narzędzie spyware MerkSpy

Luka Microsoft MSHTML wykorzystywana do dostarczania narzędzia spyware MerkSpy

Kilka dni temu zaobserwowano, że nieznane grupy hakerskie wykorzystują załataną lukę w zabezpieczeniach programu Microsoft MSHTML w celu dostarczania narzędzia do szpiegowania o nazwie MerkSpy. Złośliwe kampanie skierowane są głównie do użytkowników w Kanadzie, Indiach, USA i Polsce.

„MerkSpy ma na celu potajemne monitorowanie działań użytkowników, przechwytywanie poufnych informacji i ustalanie trwałości w zaatakowanych systemach” – stwierdziła Cara Lin, badaczka z Fortinet FortiGuard Labs, w raporcie opublikowanym w zeszłym tygodniu.

Punktem wyjścia łańcucha ataków jest dokument programu Microsoft Word, który rzekomo zawiera opis stanowiska pracy inżyniera oprogramowania. Otwarcie pliku powoduje wykorzystanie CVE-2021-40444), luki w MSHTML o dużej wadze, która może skutkować zdalnym wykonaniem kodu bez konieczności jakiejkolwiek interakcji ze strony użytkownika. Microsoft rozwiązał ten problem w ramach aktualizacji wprowadzanych we wrześniu 2021 roku, jednak stare systemy operacyjne nieotrzymujące aktualizacji oczywiście pozostały podatne.

Luka w tym przypadku umożliwia pobranie pliku HTML („olerender.html”) ze zdalnego serwera, który z kolei inicjuje wykonanie osadzonego kodu powłoki po sprawdzeniu wersji systemu operacyjnego.

„Olerender.html” wykorzystuje technologię „VirtualProtect” do modyfikowania uprawnień do pamięci, umożliwiając bezpieczne zapisanie zdekodowanego kodu powłoki w pamięci.

Następnie „CreateThread” wykonuje wstrzyknięty kod powłoki, przygotowując grunt pod pobranie i wykonanie kolejnego ładunku z serwera osoby atakującej. Proces ten zapewnia bezproblemowe działanie złośliwego kodu, co ułatwia dalsze wykorzystanie.

Kod powłoki służy do pobierania pliku o „legalnej” nazwie „GoogleUpdate”, ale w rzeczywistości zawiera ładunek odpowiedzialny za unikanie wykrycia przez oprogramowanie zabezpieczające oraz ładuje MerkSpy do pamięci.

Schemat ataku; źródło: fortinet.com

Oprogramowanie szpiegowskie utrwala się na hoście poprzez zmiany w rejestrze Windows, dzięki czemu jest uruchamiane automatycznie po starcie systemu. Oferuje także możliwości tajnego przechwytywania poufnych informacji, monitorowania działań użytkowników i wydobywania danych na serwery C&C.

Dane obejmują zrzuty ekranu, naciśnięcia klawiszy, dane logowania przechowywane w przeglądarce Google Chrome oraz dane z rozszerzenia przeglądarki MetaMask, czyli najpopularniejszego portfela kryptowalutowego. Wszystkie te informacje są przesyłane pod adres URL „45.89.53[.]46/google/update[.]php.

Dzieje się tak po tym, jak Symantec szczegółowo opisał szeroką kampanię skierowaną do użytkowników w USA, w której rozsyłano pobieżne wiadomości SMS rzekomo pochodzące od Apple i mające na celu nakłonienie odbiorców do kliknięcia fałszywych stron zbierających dane uwierzytelniające („signin.authen-connexion[.]info/icloud”) „celem dalszego korzystania z usług Apple”.

Telemetria złośliwej kampanii; źródło: fortinet.com

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...