Falha no MSHTML da Microsoft Permite Ataques de Espionagem

A vulnerabilidade recentemente corrigida no MSHTML da Microsoft está sendo explorada por atores mal-intencionados para distribuir a ferramenta de espionagem MerkSpy, em uma campanha que tem como alvo principal usuários no Canadá, Índia, Polônia e Estados Unidos. De acordo com uma pesquisa da Fortinet, o MerkSpy é projetado para monitorar atividades dos usuários, capturar informações sensíveis e estabelecer persistência em sistemas comprometidos.

O ponto de partida do ataque é um documento do Microsoft Word que supostamente contém uma descrição de trabalho para um cargo de engenheiro de software. Ao abrir o arquivo, a vulnerabilidade CVE-2021-40444 é explorada, permitindo a execução de código remoto sem interação do usuário. Esta falha foi corrigida pela Microsoft em setembro de 2021 como parte das atualizações do Patch Tuesday.

Após a exploração inicial, um arquivo HTML é baixado de um servidor remoto, o qual executa um shellcode embutido após verificar a versão do sistema operacional. Este shellcode então baixa e executa um arquivo disfarçado como “GoogleUpdate”, que, na verdade, carrega o MerkSpy na memória do sistema, evitando a detecção por softwares de segurança.

O MerkSpy se estabelece no sistema host alterando o Registro do Windows, garantindo sua execução automática na inicialização do sistema. Ele é capaz de capturar informações como capturas de tela, registros de teclas, credenciais de login armazenadas no Google Chrome e dados da extensão MetaMask, transmitindo essas informações para servidores controlados pelos atacantes.

A vulnerabilidade CVE-2021-40444, que permite a execução remota de código, tem sido uma preocupação significativa para a segurança cibernética. Ataques usando essa falha começaram a ser observados em agosto de 2021, antes mesmo de a vulnerabilidade ser publicamente divulgada. A vulnerabilidade foi explorada por diversos grupos de cibercriminosos, incluindo afiliados de ransomware como o Ryuk, que usaram a falha para distribuir cargas úteis maliciosas, como o Cobalt Strike. Para mitigar esses ataques, recomenda-se a aplicação imediata das atualizações de segurança da Microsoft e a desativação de controles ActiveX via Política de Grupo, além de configurar o Office para abrir documentos da internet no modo Protegido.

Leia mais na mesma categoria:

CibercriminososNotíciasVulnerabilidades