Atores de ameaças desconhecidos foram observados explorando uma falha de segurança corrigida no Microsoft MSHTML para fornecer uma ferramenta de vigilância chamada BrandSpy como parte de uma campanha direcionada principalmente a usuários no Canadá, Índia, Polônia e EUA
“O MerkSpy foi projetado para monitorar clandestinamente as atividades dos usuários, capturar informações confidenciais e estabelecer persistência em sistemas comprometidos”, disse Cara Lin, pesquisadora do Fortinet FortiGuard Labs, em um relatório publicado na semana passada.
O ponto de partida da cadeia de ataque é um documento do Microsoft Phrase que aparentemente contém uma descrição de cargo para um engenheiro de software program.
Mas abrir o arquivo aciona a exploração de CVE-2021-40444, uma falha de alta gravidade no MSHTML que pode resultar na execução remota de código sem exigir nenhuma interação do usuário. Foi corrigido pela Microsoft como parte das atualizações do Patch Tuesday lançadas em setembro de 2021.
Neste caso, ele abre caminho para o obtain de um arquivo HTML (“olerender.html”) de um servidor remoto que, por sua vez, inicia a execução de um shellcode incorporado após verificar a versão do sistema operacional.
“Olerender.html” aproveita o “'VirtualProtect' para modificar as permissões de memória, permitindo que o shellcode decodificado seja gravado na memória com segurança”, explicou Lin.
“Após isso, 'CreateThread' executa o shellcode injetado, preparando o cenário para baixar e executar o próximo payload do servidor do invasor. Esse processo garante que o código malicioso seja executado perfeitamente, facilitando a exploração posterior.”
O shellcode serve como um downloader para um arquivo enganosamente intitulado “GoogleUpdate”, mas, na realidade, abriga uma carga injetora responsável por evitar a detecção por software program de segurança e carregar o MerkSpy na memória.
O spyware and adware estabelece persistência no host por meio de alterações no Registro do Home windows, de modo que ele é iniciado automaticamente na inicialização do sistema. Ele também vem com recursos para capturar clandestinamente informações confidenciais, monitorar atividades do usuário e exfiltrar dados para servidores externos sob o controle dos agentes da ameaça.
Isso inclui capturas de tela, pressionamentos de tecla, credenciais de login armazenadas no Google Chrome e dados da extensão do navegador MetaMask. Todas essas informações são transmitidas para a URL “45.89.53(.)46/google/replace(.)php.”
O desenvolvimento ocorre no momento em que a Symantec detalhou uma campanha de smishing direcionada a usuários nos EUA com mensagens SMS suspeitas que supostamente são da Apple e visam induzi-los a clicar em páginas falsas de coleta de credenciais (“signin.authen-connexion(.)data/icloud”) para continuar usando os serviços.
“O website malicioso é acessível tanto em navegadores de desktop quanto de dispositivos móveis”, disse a empresa de propriedade da Broadcom. “Para adicionar uma camada de legitimidade percebida, eles implementaram um CAPTCHA que os usuários devem completar. Depois disso, os usuários são direcionados para uma página da net que imita um modelo de login do iCloud desatualizado.”