Vulnerabilidad de Microsoft MSHTML explotada para distribuir la herramienta de spyware MerkSpy

Luis Quiles

julio 3, 2024

Vulnerabilidad, Spyware

Se ha observado a actores de amenazas desconocidos explotando una vulnerabilidad de seguridad ahora parcheada en Microsoft MSHTML para distribuir una herramienta de vigilancia llamada MerkSpy, como parte de una campaña que apunta principalmente a usuarios en Canadá, India, Polonia y Estados Unidos.

«MerkSpy está diseñado para monitorear clandestinamente las actividades de los usuarios, capturar información sensible y establecer persistencia en los sistemas comprometidos», dijo Cara Lin, investigadora de Fortinet FortiGuard Labs, en un informe publicado la semana pasada.

El punto de partida de la cadena de ataque es un documento de Microsoft Word que aparentemente contiene una descripción de trabajo para un puesto de ingeniero de software.

Pero abrir el archivo desencadena la explotación de CVE-2021-40444, una vulnerabilidad de alta gravedad en MSHTML que podría resultar en la ejecución remota de código sin requerir ninguna interacción del usuario. Microsoft abordó este problema como parte de las actualizaciones de Patch Tuesday lanzadas en septiembre de 2021.

En este caso, allana el camino para la descarga de un archivo HTML («olerender.html») desde un servidor remoto que, a su vez, inicia la ejecución de un shellcode incrustado después de verificar la versión del sistema operativo.

«Olerender.html» aprovecha «VirtualProtect» para modificar los permisos de memoria, permitiendo que el shellcode decodificado se escriba de manera segura en la memoria», explicó Lin.

«Después de esto, ‘CreateThread’ ejecuta el shellcode inyectado, preparando el escenario para descargar y ejecutar la siguiente carga útil desde el servidor del atacante. Este proceso asegura que el código malicioso se ejecute sin problemas, facilitando una mayor explotación.»

El shellcode sirve como descargador de un archivo que está engañosamente titulado «GoogleUpdate» pero que, en realidad, alberga una carga útil de inyección responsable de evadir la detección por parte del software de seguridad y cargar MerkSpy en la memoria.

El spyware establece persistencia en el host a través de cambios en el Registro de Windows de manera que se lanza automáticamente al iniciar el sistema. También viene con capacidades para capturar información sensible de manera clandestina, monitorear actividades del usuario y exfiltrar datos a servidores externos bajo el control de los actores de amenazas.

Esto incluye capturas de pantalla, pulsaciones de teclas, credenciales de inicio de sesión almacenadas en Google Chrome y datos de la extensión del navegador MetaMask. Toda esta información se transmite a la URL «45.89.53[.]46/google/update[.]php.»

El desarrollo se produce cuando Symantec detalló una campaña de smishing dirigida a usuarios en EE.UU. con mensajes SMS sospechosos que supuestamente provienen de Apple y tienen como objetivo engañarlos para que hagan clic en páginas falsas de recolección de credenciales («signin.authen-connexion[.]info/icloud») para continuar usando los servicios.

«El sitio web malicioso es accesible desde navegadores de escritorio y móviles», dijo la compañía propiedad de Broadcom. «Para agregar una capa de legitimidad percibida, han implementado un CAPTCHA que los usuarios deben completar. Después de esto, los usuarios son dirigidos a una página web que imita una plantilla de inicio de sesión de iCloud obsoleta.»

Tags :