内页banner>

联系方式

当前位置: 首页 > 新闻动态

新闻动态 News

联系我们Contact Us

蜜糖商店兑换码

电话:13594780333

联系人:周经理

邮箱:unobserved@gmail.com

网址:https://www.sxsyrs.com

地址:儋州市减裂仙境132号

攻击者利用 Microsoft MSHTML 漏洞来部署 MerkSpy 间谍软体

2024-11-14 16:54:29
74次

网络安全专家发现了一个针对加拿大、印度、波兰和美国用户的复杂攻击活动,攻击者利用Microsoft的MSHTML引擎中以前已解决的漏洞来传播一种名为MerkSpy的监控工具。

攻击的复杂性

安全漏洞的初始阶段涉及一个看似无害的Microsoft Word文档,该文档声称提供软件工程师的职位描述。然而,打开该文档会激活对CVE202140444的利用,这是一种严重的MSHTML漏洞,允许远程代码执行,而无需用户交互。

攻击者利用 Microsoft MSHTML 漏洞来部署 MerkSpy 间谍软体

微软在2021年9月的补丁星期二更新中已解决了此问题。“MerkSpy旨在秘密监控用户活动、捕获敏感信息,并在被入侵的系统上建立持久性,”Fortinet FortiGuard Labs的研究员Cara Lin说。

该文档会从远程服务器下载一个名为“olerenderhtml”的HTML文件,随后执行嵌入的“scx64” shell代码。在确定操作系统版本并提取正确的shell代码后,“olerenderhtml”使用Windows API“VirtualProtect”和“CreateThread”。

获取Windows API来源:Fortinet

“VirtualProtect”的作用是调整内存权限,确保将解码的shell代码安全地插入内存中。然后,使用“CreateThread”来执行shell代码,为随后从攻击者服务器下载和执行下一个有效载荷铺平道路。

MerkSpy的运作方式

该shell代码主要作为下载器,用于下载一个名为“GoogleUpdate”的虚假文件。实际上,这个文件包含一个注入有效载荷,旨在规避杀毒软件的检测,并直接将MerkSpy加载到系统的内存中。

下载的“GoogleUpdate”文件来源:Fortinet

MerkSpy间谍软件在感染的系统中悄然运行,捕获敏感信息,监控用户活动,并将数据发送到黑客操作的远程服务器。

一旦激活,MerkSpy会修改Windows注册表,确保每次计算机启动时自动运行。它会秘密捕获屏幕截图、记录按键,并收集存储在Google Chrome中的登录凭据以及来自MetaMask浏览器扩展的数据。这些敏感数据随后被发送到黑客的服务器。

最后提醒

为了防范此类威胁,用户应确保系统更新到最新安全补丁,并谨慎打开未请求的文档。保持警惕和了解信息对于保护个人和组织的数据免受如MerkSpy这类复杂网络威胁至关重要。

Anas Hasan

蜜糖商店兑换码

2024年7月4日

4个月前

Anas Hasan是一名技术极客和网络安全爱好者。他在数字转型行业拥有丰富的经验。当Anas不在写博客时,他会观看足球比赛。

蜜糖商店兑换码

电话:13594780333

联系人:周经理

邮箱:unobserved@gmail.com

网址:https://www.sxsyrs.com

地址:儋州市减裂仙境132号

在线留言

  • 体验移动端

    体验移动端

  • 联系客服

    联系客服