Er zijn onbekende dreigingsactoren waargenomen die misbruik maken van een inmiddels gepatchte beveiligingsfout in Microsoft MSHTML om een bewakingstool genaamd MerkSpy als onderdeel van een campagne die voornamelijk gericht is op gebruikers in Canada, India, Polen en de VS
“MerkSpy is ontworpen om heimelijk gebruikersactiviteiten te monitoren, gevoelige informatie te verzamelen en persistentie te creëren op gecompromitteerde systemen”, aldus Cara Lin, onderzoeker bij Fortinet FortiGuard Labs, in een vorige week gepubliceerd rapport.
Het startpunt van de aanvalsketen is een Microsoft Word-document dat ogenschijnlijk een functiebeschrijving voor een softwareontwikkelaar bevat.
Maar het openen van het bestand activeert de exploitatie van CVE-2021-40444, een zeer ernstige fout in MSHTML die kan resulteren in uitvoering van code op afstand zonder dat er interactie van de gebruiker nodig is. Het werd door Microsoft aangepakt als onderdeel van Patch Tuesday-updates die in september 2021 werden uitgebracht.
In dit geval maakt het de weg vrij voor het downloaden van een HTML-bestand (“olerender.html”) van een externe server, die op zijn beurt de uitvoering van een ingebedde shellcode initieert na controle van de versie van het besturingssysteem.
“Olerender.html” maakt gebruik van “‘VirtualProtect’ om geheugenmachtigingen te wijzigen, waardoor de gedecodeerde shellcode veilig in het geheugen kan worden geschreven”, legt Lin uit.
“Hierna voert ‘CreateThread’ de geïnjecteerde shellcode uit, waarmee de basis wordt gelegd voor het downloaden en uitvoeren van de volgende payload van de server van de aanvaller. Dit proces zorgt ervoor dat de schadelijke code naadloos wordt uitgevoerd, waardoor verdere exploitatie mogelijk wordt.”
De shellcode fungeert als downloader voor een bestand met de misleidende naam ‘GoogleUpdate’, maar in werkelijkheid bevat het een injector-payload die detectie door beveiligingssoftware moet omzeilen en MerkSpy in het geheugen moet laden.
De spyware zorgt voor persistentie op de host via wijzigingen in het Windows-register, zodat het automatisch wordt gestart bij het opstarten van het systeem. Het beschikt ook over mogelijkheden om heimelijk gevoelige informatie te verzamelen, gebruikersactiviteiten te monitoren en gegevens te exfiltreren naar externe servers onder controle van de dreigingsactoren.
Dit omvat screenshots, toetsaanslagen, inloggegevens opgeslagen in Google Chrome en gegevens van de MetaMask-browserextensie. Al deze informatie wordt verzonden naar de URL “45.89.53(.)46/google/update(.)php.”
De ontwikkeling volgt op de bekendmaking van een smishingcampagne van Symantec, die gericht was op Amerikaanse gebruikers met dubieuze sms-berichten. Deze berichten zouden afkomstig zijn van Apple en zijn bedoeld om gebruikers te misleiden zodat ze op valse pagina’s voor het verzamelen van inloggegevens (“signin.authen-connexion(.)info/icloud”) klikken om de diensten te kunnen blijven gebruiken.
“De kwaadaardige website is toegankelijk via zowel desktop- als mobiele browsers”, aldus het bedrijf in eigendom van Broadcom. “Om een laagje waargenomen legitimiteit toe te voegen, hebben ze een CAPTCHA geïmplementeerd die gebruikers moeten invullen. Hierna worden gebruikers doorgestuurd naar een webpagina die een verouderde iCloud-inlogsjabloon nabootst.”
