一个未知的黑客组织利用 Microsoft MSHTML 中的已修复漏洞传播名为 MerkSpy 的间谍软件，主要针对加拿大、印度、波兰和美国用户。MerkSpy 旨在秘密监视用户活动，获取敏感信息并在受感染系统上建立持久性。攻击链始于一个伪装成软件工程师职位描述的 Microsoft Word 文档，该文档触发了 CVE-2021-40444 漏洞利用，从而下载并执行包含恶意代码的 HTML 文件。最终，该恶意代码加载 MerkSpy 间谍软件，该软件能够捕获屏幕截图、按键记录、登录凭据以及来自 MetaMask 的数据，并将这些信息发送到攻击者的服务器。

😨 **漏洞利用:** 攻击者利用 CVE-2021-40444 漏洞，该漏洞存在于 Microsoft MSHTML 中，并可能导致远程代码执行。攻击者通过伪装成软件工程师职位描述的 Microsoft Word 文档来诱骗用户打开文件，从而触发该漏洞。

💻 **恶意代码下载和执行:** 一旦触发漏洞，恶意代码就会从攻击者的服务器下载并执行。该恶意代码首先修改内存权限以允许解码后的 shellcode 安全地写入内存，然后通过 CreateThread 函数执行注入的 shellcode，为从攻击者的服务器下载和执行下一个负载做好准备。

🕵️ **间谍软件加载和持久性:** 恶意代码加载 MerkSpy 间谍软件，该软件能够捕获屏幕截图、按键记录、登录凭据以及来自 MetaMask 的数据。为了确保持久性，MerkSpy 通过修改 Windows 注册表在主机上建立持久性，以便在系统启动时自动启动。

📡 **数据泄露:** 捕获的敏感信息被发送到攻击者的服务器，其 URL 为“45.89.53[.]46/google/update[.]php”。

据观察，未知黑客组织利用 Microsoft MSHTML 中现已修补的安全漏洞传播名为MerkSpy的间谍软件监视工具，主要针对加拿大、印度、波兰和美国目标。

Fortinet FortiGuard Labs 研究员 Cara Lin在上周发布的一份报告中表示：“MerkSpy 旨在秘密监视用户活动，获取敏感信息并在受感染系统上建立持久性。”

攻击链的起点是一个 Microsoft Word 文档，其中表面上包含软件工程师职位的描述。

诱饵文档

但打开该文件会触发CVE-2021-40444漏洞利用，这是 MSHTML 中的一个高严重性漏洞，可能导致远程代码执行而无需任何用户交互。微软已在 2021 年 9 月发布的补丁更新中解决了该问题。

在这种情况下，它为从远程服务器下载 HTML 文件（“olerender.html”）铺平了道路，然后在检查操作系统版本后启动嵌入式 shellcode 的执行。

林解释说，“Olerender.html”利用“VirtualProtect”修改内存权限，从而允许将解码后的 shellcode 安全地写入内存”。

“随后，‘CreateThread’ 执行注入的 shellcode，为从攻击者的服务器下载和执行下一个负载做好准备。此过程确保恶意代码无缝运行，从而促进进一步的利用。”

该 shellcode 充当一个文件下载器，该文件的标题看似是“GoogleUpdate”，但实际上却包含一个注入器负载，负责逃避安全软件的检测并将 MerkSpy 加载到内存中。

攻击链

该间谍软件通过更改 Windows 注册表在主机上建立持久性，以便在系统启动时自动启动。它还具有秘密捕获敏感信息、监视用户活动以及将数据泄露到黑客控制的外部服务器的功能。

其中包括屏幕截图、按键、存储在 Google Chrome 中的登录凭据以及来自 MetaMask 浏览器扩展程序的数据。所有这些信息都传输到 URL“45.89.53[.]46/google/update[.]php”。

 

---

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/-JhoU2lIZtocBR9Fg0z4cw

封面来源于网络，如有侵权请联系删除