Fonte: boletimsec.com.br
Na matéria, a página destaca que uma vulnerabilidade recentemente corrigida no MSHTML da Microsoft está sendo explorada por cibercriminosos para distribuir a ferramenta de espionagem MerkSpy, visando usuários no Canadá, Índia, Polônia e Estados Unidos. O ataque começa com um documento do Microsoft Word que explora a falha CVE-2021-40444, permitindo a execução de código remoto. Após a exploração inicial, um arquivo HTML executa um shellcode que baixa e carrega o MerkSpy na memória do sistema. O MerkSpy captura informações sensíveis e estabelece persistência alterando o Registro do Windows. A vulnerabilidade, explorada desde agosto de 2021, foi usada por grupos de cibercriminosos para distribuir cargas maliciosas como o Cobalt Strike. Para mitigar esses ataques, é recomendada a aplicação de atualizações de segurança da Microsoft e a desativação de controles ActiveX.
“Uma vulnerabilidade recentemente corrigida no MSHTML da Microsoft está sendo explorada por cibercriminosos para distribuir a ferramenta de espionagem MerkSpy, em uma campanha que tem como principais alvos usuários no Canadá, Índia, Polônia e Estados Unidos. Segundo pesquisa da Fortinet, o MerkSpy é projetado para monitorar atividades dos usuários, capturar informações sensíveis e estabelecer persistência em sistemas comprometidos.
O ataque começa com um documento do Microsoft Word que supostamente contém uma descrição de trabalho para um cargo de engenheiro de software. Ao abrir o arquivo, a vulnerabilidade CVE-2021-40444 é explorada, permitindo a execução de código remoto sem interação do usuário. Esta falha foi corrigida pela Microsoft em setembro de 2021, como parte das atualizações do Patch Tuesday.
Após a exploração inicial, um arquivo HTML é baixado de um servidor remoto, executando um shellcode embutido após verificar a versão do sistema operacional. Este shellcode então baixa e executa um arquivo disfarçado como “GoogleUpdate”, que, na verdade, carrega o MerkSpy na memória do sistema, evitando a detecção por softwares de segurança.
O MerkSpy se estabelece no sistema host alterando o Registro do Windows, garantindo sua execução automática na inicialização do sistema. Ele pode capturar informações como capturas de tela, registros de teclas, credenciais de login armazenadas no Google Chrome e dados da extensão MetaMask, transmitindo essas informações para servidores controlados pelos atacantes.
A vulnerabilidade CVE-2021-40444, que permite a execução remota de código, tem sido uma preocupação significativa para a segurança cibernética. Ataques utilizando essa falha começaram a ser observados em agosto de 2021, antes mesmo de a vulnerabilidade ser publicamente divulgada. A falha foi explorada por diversos grupos de cibercriminosos, incluindo afiliados de ransomware como o Ryuk, que usaram a vulnerabilidade para distribuir cargas úteis maliciosas, como o Cobalt Strike. Para mitigar esses ataques, recomenda-se a aplicação imediata das atualizações de segurança da Microsoft, a desativação de controles ActiveX via Política de Grupo e a configuração do Office para abrir documentos da internet no modo Protegido.”
