Κυβερνοεγκληματίες εκμεταλλεύονται μια ευπάθεια ασφαλείας στο Microsoft MSHTML, για να διανείμουν ένα spyware με το όνομα MerkSpy. Η ευπάθεια έχει διορθωθεί από την εταιρεία και η εκμετάλλευσή της γίνεται στα πλαίσια μιας εκστρατείας που στοχεύει χρήστες στον Καναδά, την Ινδία, την Πολωνία και τις Η.Π.Α.
“Το MerkSpy spyware έχει σχεδιαστεί για να παρακολουθεί κρυφά τις δραστηριότητες των χρηστών, να κλέβει ευαίσθητες πληροφορίες και να εδραιώνει persistence σε παραβιασμένα συστήματα“, δήλωσε η ερευνήτρια της Fortinet FortiGuard Labs, Cara Lin.
Η επίθεση ξεκινά με ένα έγγραφο του Microsoft Word που φαινομενικά περιέχει την περιγραφή μιας θέσης εργασίας (software engineer). Ωστόσο, το άνοιγμα του αρχείου ενεργοποιεί την εκμετάλλευση της ευπάθειας CVE-2021-40444, μιας σοβαρής ευπάθειας στο MSHTML, που θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα. Μάλιστα, δεν απαιτείται αλληλεπίδραση με τον χρήστη. Η εν λόγω ευπάθεια αντιμετωπίστηκε από τη Microsoft το Σεπτέμβριο του 2021. Αλλά, όπως φαίνεται, κάποια συστήματα δεν έχουν ενημερωθεί και παραμένουν ευάλωτα.
Δείτε επίσης: CapraRAT Spyware: Κακόβουλες εφαρμογές στοχεύουν χρήστες Android
Στις νέες επιθέσεις διανομής του MerkSpy spyware, γίνεται εκμετάλλευση της ευπάθειας για λήψη ενός αρχείου HTML (“olerender.html”) από έναν απομακρυσμένο διακομιστή. Αυτός, με τη σειρά του, ξεκινά την εκτέλεση ενός ενσωματωμένου shellcode, αφού ελέγξει την έκδοση του λειτουργικού συστήματος.
Το “Olerender.html” εκμεταλλεύεται το “”VirtualProtect” για να τροποποιήσει τα δικαιώματα μνήμης, επιτρέποντας στο αποκωδικοποιημένο shellcode να εγγραφεί στη μνήμη με ασφάλεια”, εξήγησε η Lin.
“Έπειτα από αυτό, το “CreateThread” εκτελεί το shellcode που έχει εισαχθεί, θέτοντας τη βάση για τη λήψη και την εκτέλεση του επόμενου payload από τον διακομιστή του εισβολέα. Αυτή η διαδικασία διασφαλίζει ότι ο κακόβουλος κώδικας εκτελείται απρόσκοπτα, διευκολύνοντας την περαιτέρω εκμετάλλευση“.
Το shellcode χρησιμεύει ως πρόγραμμα λήψης για ένα αρχείο που φέρει τον παραπλανητικό τίτλο “GoogleUpdate“. Στην πραγματικότητα, φιλοξενεί ένα injector payload, που επιτρέπει την αποφυγή εντοπισμού από λογισμικά ασφαλείας και τη φόρτωση του MerkSpy spyware στη μνήμη.
Δείτε επίσης: Οι hackers Arid Viper διανέμουν το AridSpy spyware μέσω apps
Το spyware καθιερώνει persistence μέσω αλλαγών στο μητρώο των Windows, έτσι ώστε να εκκινείται αυτόματα κατά την εκκίνηση του συστήματος. Ως λογισμικό υποκλοπής, κλέβει ευαίσθητες πληροφορίες, παρακολουθεί τις δραστηριότητες των χρηστών και στέλνει κρίσιμα δεδομένα στους χειριστές του.
Πώς μπορεί κάποιος να προστατεύσει την ψηφιακή του ζωή από το spyware;
Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε είναι η χρήση ενός αξιόπιστου λογισμικού ασφαλείας. Τα προγράμματα αυτά σαρώνουν τη συσκευή σας για την εύρεση και την αφαίρεση του spyware (π.χ. MerkSpy). Επιπλέον, προσφέρουν προστασία σε πραγματικό χρόνο, προειδοποιώντας σας όταν μια εφαρμογή προσπαθεί να εγκαταστήσει spyware στη συσκευή σας.
Δείτε επίσης: ΗΠΑ: Περιορισμοί στην έκδοση Visa σε άτομα που εμπλέκονται με spyware
Είναι επίσης σημαντικό να διατηρείτε το λειτουργικό σας σύστημα και όλα τα προγράμματα ενημερωμένα. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να βοηθήσουν στην προστασία του υπολογιστή σας από το spyware.
Μια άλλη σημαντική συμβουλή είναι να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Αυτά τα λογισμικά συχνά διαδίδονται μέσω επιθέσεων phishing, όπου οι επιτιθέμενοι προσπαθούν να σας πείσουν να κάνετε κλικ σε ένα κακόβουλο σύνδεσμο ή να ανοίξετε ένα επικίνδυνο συνημμένο.
Τέλος, είναι σημαντικό να έχετε συνεχώς αντίγραφα ασφαλείας των σημαντικών σας αρχείων. Αν και αυτό δεν θα σας προστατεύσει απευθείας από το MerkSpy ή άλλο spyware, θα σας βοηθήσει να ανακτήσετε τα δεδομένα σας αν η συσκευή σας προσβληθεί.
Πηγή: thehackernews.com
