Un grupo de actores desconocidos está utilizando una vulnerabilidad de seguridad en Microsoft MSHTML para lanzar una campaña de distribución de un spyware llamado MerkSpy. Según la investigadora de Fortinet FortiGuard Labs, Cara Lin, MerkSpy está diseñado para monitorear actividades de usuario, capturar información sensible y establecer persistencia en sistemas comprometidos.
La cadena de ataque comienza con un documento de Microsoft Word que parece contener una descripción de trabajo para un puesto de ingeniero de software, pero al abrir el archivo, se activa la explotación de CVE-2021-40444, una falla crítica en MSHTML que permite la ejecución remota de código sin interacción del usuario, parchada por Microsoft en septiembre de 2021.
Después de la explotación, se descarga un archivo HTML («olerender.html») desde un servidor remoto, lo que inicia la ejecución de un shellcode incrustado para la descarga y ejecución de la siguiente carga útil desde el servidor del atacante.
El archivo «GoogleUpdate» en realidad alberga una carga útil inyectora que evade la detección por software de seguridad y carga MerkSpy en la memoria. Este spyware tiene la capacidad de capturar información sensible, monitorear actividades y exfiltrar datos a servidores externos bajo el control de los actores amenazantes.
Symantec también ha detallado una campaña de smishing dirigida a usuarios en EE. UU. con mensajes SMS dudosos que aparentan ser de Apple y buscan engañarlos para que hagan clic en páginas falsas de recolección de credenciales con el fin de seguir utilizando los servicios.
Vía The Hacker News
La entrada Vulnerabilidad en Microsoft MSHTML aprovechada para distribuir la herramienta de espionaje MerkSpy se publicó primero en News Bender Daily.
