Luka Microsoft MSHTML wykorzystywana do dostarczania narzędzia spyware MerkSpy

„MerkSpy ma na celu potajemne monitorowanie działań użytkowników, przechwytywanie poufnych informacji i ustalanie trwałości w zaatakowanych systemach” – stwierdziła Cara Lin, badaczka z Fortinet FortiGuard Labs, w raporcie opublikowanym w zeszłym tygodniu.

Punktem wyjścia łańcucha ataków jest dokument programu Microsoft Word, który rzekomo zawiera opis stanowiska pracy inżyniera oprogramowania. Otwarcie pliku powoduje wykorzystanie CVE-2021-40444), luki w MSHTML o dużej wadze, która może skutkować zdalnym wykonaniem kodu bez konieczności jakiejkolwiek interakcji ze strony użytkownika. Microsoft rozwiązał ten problem w ramach aktualizacji wprowadzanych we wrześniu 2021 roku, jednak stare systemy operacyjne nieotrzymujące aktualizacji oczywiście pozostały podatne.

Luka w tym przypadku umożliwia pobranie pliku HTML („olerender.html”) ze zdalnego serwera, który z kolei inicjuje wykonanie osadzonego kodu powłoki po sprawdzeniu wersji systemu operacyjnego.

„Olerender.html” wykorzystuje technologię „VirtualProtect” do modyfikowania uprawnień do pamięci, umożliwiając bezpieczne zapisanie zdekodowanego kodu powłoki w pamięci.

Następnie „CreateThread” wykonuje wstrzyknięty kod powłoki, przygotowując grunt pod pobranie i wykonanie kolejnego ładunku z serwera osoby atakującej. Proces ten zapewnia bezproblemowe działanie złośliwego kodu, co ułatwia dalsze wykorzystanie.

Kod powłoki służy do pobierania pliku o „legalnej” nazwie „GoogleUpdate”, ale w rzeczywistości zawiera ładunek odpowiedzialny za unikanie wykrycia przez oprogramowanie zabezpieczające oraz ładuje MerkSpy do pamięci.

Oprogramowanie szpiegowskie utrwala się na hoście poprzez zmiany w rejestrze Windows, dzięki czemu jest uruchamiane automatycznie po starcie systemu. Oferuje także możliwości tajnego przechwytywania poufnych informacji, monitorowania działań użytkowników i wydobywania danych na serwery C&C.

Dane obejmują zrzuty ekranu, naciśnięcia klawiszy, dane logowania przechowywane w przeglądarce Google Chrome oraz dane z rozszerzenia przeglądarki MetaMask, czyli najpopularniejszego portfela kryptowalutowego. Wszystkie te informacje są przesyłane pod adres URL „45.89.53[.]46/google/update[.]php.

Dzieje się tak po tym, jak Symantec szczegółowo opisał szeroką kampanię skierowaną do użytkowników w USA, w której rozsyłano pobieżne wiadomości SMS rzekomo pochodzące od Apple i mające na celu nakłonienie odbiorców do kliknięcia fałszywych stron zbierających dane uwierzytelniające („signin.authen-connexion[.]info/icloud”) „celem dalszego korzystania z usług Apple”.