网络安全专家发现了一个针对加拿大、印度、波兰和美国用户的复杂攻击活动,攻击者利用Microsoft的MSHTML引擎中以前已解决的漏洞来传播一种名为MerkSpy的监控工具。
安全漏洞的初始阶段涉及一个看似无害的Microsoft Word文档,该文档声称提供软件工程师的职位描述。然而,打开该文档会激活对CVE202140444的利用,这是一种严重的MSHTML漏洞,允许远程代码执行,而无需用户交互。
微软在2021年9月的补丁星期二更新中已解决了此问题。“MerkSpy旨在秘密监控用户活动、捕获敏感信息,并在被入侵的系统上建立持久性,”Fortinet FortiGuard Labs的研究员Cara Lin说。
该文档会从远程服务器下载一个名为“olerenderhtml”的HTML文件,随后执行嵌入的“scx64” shell代码。在确定操作系统版本并提取正确的shell代码后,“olerenderhtml”使用Windows API“VirtualProtect”和“CreateThread”。
获取Windows API来源:Fortinet
“VirtualProtect”的作用是调整内存权限,确保将解码的shell代码安全地插入内存中。然后,使用“CreateThread”来执行shell代码,为随后从攻击者服务器下载和执行下一个有效载荷铺平道路。
该shell代码主要作为下载器,用于下载一个名为“GoogleUpdate”的虚假文件。实际上,这个文件包含一个注入有效载荷,旨在规避杀毒软件的检测,并直接将MerkSpy加载到系统的内存中。
下载的“GoogleUpdate”文件来源:Fortinet
MerkSpy间谍软件在感染的系统中悄然运行,捕获敏感信息,监控用户活动,并将数据发送到黑客操作的远程服务器。
一旦激活,MerkSpy会修改Windows注册表,确保每次计算机启动时自动运行。它会秘密捕获屏幕截图、记录按键,并收集存储在Google Chrome中的登录凭据以及来自MetaMask浏览器扩展的数据。这些敏感数据随后被发送到黑客的服务器。
为了防范此类威胁,用户应确保系统更新到最新安全补丁,并谨慎打开未请求的文档。保持警惕和了解信息对于保护个人和组织的数据免受如MerkSpy这类复杂网络威胁至关重要。
Anas Hasan
蜜糖商店兑换码2024年7月4日
4个月前
Anas Hasan是一名技术极客和网络安全爱好者。他在数字转型行业拥有丰富的经验。当Anas不在写博客时,他会观看足球比赛。