MerkSpy Spyware IOCs

Spyware IOC
Опубликовано

Недавно специалисты FortiGuard Labs обнаружили новую атаку, использующую уязвимость CVE-2021-40444 в Microsoft Office. Эта уязвимость позволяет злоумышленникам выполнять вредоносный код через специально созданные документы. В данном случае атака привела к развертыванию шпионского ПО под названием "MerkSpy". Шпионское ПО предназначено для незаметного сбора информации с компьютера пользователя и передачи этой информации третьим сторонам для шпионажа или кражи.

MerkSpy Spyware

Атака начинается с отправки обманчивого документа Microsoft Word, который выдается за описание вакансии разработчика программного обеспечения. Когда пользователь открывает этот документ, выполняется уязвимость CVE-2021-40444, что позволяет злоумышленнику выполнять произвольный код на компьютере жертвы. Затем злоумышленник загружает специальный HTML-файл, который содержит шелл-код, необходимый для дальнейшей атаки.

HTML-файл проверяет версию операционной системы и извлекает соответствующий шелл-код. Затем используются API Windows, такие как "VirtualProtect" и "CreateThread", чтобы изменить разрешения и внедрить шелл-код в память компьютера жертвы. После этого выполняется следующая полезная нагрузка, "GoogleUpdate", которая является основным компонентом шпионского ПО "MerkSpy".

"GoogleUpdate" также расшифровывается с использованием специального ключа XOR, чтобы раскрыть скрытый вредоносный код. Этот код позволяет шпионскому ПО собирать информацию о действиях пользователя и передавать ее третьим сторонам.

Основная цель атаки - получить конфиденциальную информацию от пользователя. Шпионское ПО может собирать нажатия клавиш, данные о поведении в браузере и другую личную информацию. Злоумышленники используют уязвимости в Microsoft Office, чтобы незаметно установить шпионское ПО на компьютеры жертв и воровать конфиденциальные данные.

Indicators of Compromise

IPv4

  • 45.89.53.46

SHA256

  • 0ffadb53f9624950dea0e07fcffcc31404299230735746ca43d4db05e4d708c6
  • 569f6cd88806d9db9e92a579dea7a9241352d900f53ff7fe241b0006ba3f0e22
  • 6cdc2355cf07a240e78459dd4dd32e26210e22bf5e4a15ea08a984a5d9241067
  • 92eb60179d1cf265a9e2094c9a54e025597101b8a78e2a57c19e4681df465e08
  • 95a3380f322f352cf7370c5af47f20b26238d96c3ad57b6bc972776cc294389a
  • dd369262074466ce937b52c0acd75abad112e395f353072ae11e3e888ac132a8
Похожие записи:
  1. Lokibot Stealer IOCs - Part 7
  2. Beastmode Botnet IOC
  3. Enemybot Botnet IOC
  4. Emotet Botnet IOCs
  5. BianLian (Hydra) Botnet IOCs
CVE-2021-40444 FortiGuard Labs MerkSpy Spyware
SEC-1275-1
Добавить комментарий