Недавно специалисты FortiGuard Labs обнаружили новую атаку, использующую уязвимость CVE-2021-40444 в Microsoft Office. Эта уязвимость позволяет злоумышленникам выполнять вредоносный код через специально созданные документы. В данном случае атака привела к развертыванию шпионского ПО под названием "MerkSpy". Шпионское ПО предназначено для незаметного сбора информации с компьютера пользователя и передачи этой информации третьим сторонам для шпионажа или кражи.
MerkSpy Spyware
Атака начинается с отправки обманчивого документа Microsoft Word, который выдается за описание вакансии разработчика программного обеспечения. Когда пользователь открывает этот документ, выполняется уязвимость CVE-2021-40444, что позволяет злоумышленнику выполнять произвольный код на компьютере жертвы. Затем злоумышленник загружает специальный HTML-файл, который содержит шелл-код, необходимый для дальнейшей атаки.
HTML-файл проверяет версию операционной системы и извлекает соответствующий шелл-код. Затем используются API Windows, такие как "VirtualProtect" и "CreateThread", чтобы изменить разрешения и внедрить шелл-код в память компьютера жертвы. После этого выполняется следующая полезная нагрузка, "GoogleUpdate", которая является основным компонентом шпионского ПО "MerkSpy".
"GoogleUpdate" также расшифровывается с использованием специального ключа XOR, чтобы раскрыть скрытый вредоносный код. Этот код позволяет шпионскому ПО собирать информацию о действиях пользователя и передавать ее третьим сторонам.
Основная цель атаки - получить конфиденциальную информацию от пользователя. Шпионское ПО может собирать нажатия клавиш, данные о поведении в браузере и другую личную информацию. Злоумышленники используют уязвимости в Microsoft Office, чтобы незаметно установить шпионское ПО на компьютеры жертв и воровать конфиденциальные данные.
Indicators of Compromise
IPv4
- 45.89.53.46
SHA256
- 0ffadb53f9624950dea0e07fcffcc31404299230735746ca43d4db05e4d708c6
- 569f6cd88806d9db9e92a579dea7a9241352d900f53ff7fe241b0006ba3f0e22
- 6cdc2355cf07a240e78459dd4dd32e26210e22bf5e4a15ea08a984a5d9241067
- 92eb60179d1cf265a9e2094c9a54e025597101b8a78e2a57c19e4681df465e08
- 95a3380f322f352cf7370c5af47f20b26238d96c3ad57b6bc972776cc294389a
- dd369262074466ce937b52c0acd75abad112e395f353072ae11e3e888ac132a8