Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Se aprovecha una falla de MSHTML de Microsoft para distribuir la herramienta espía MerkSpy
  • Tecnología

Se aprovecha una falla de MSHTML de Microsoft para distribuir la herramienta espía MerkSpy

teknomers 3 de Temmuz de 2024 (Last updated: 3 de Temmuz de 2024) 3 minutes read
Se aprovecha una falla de MSHTML de Microsoft para distribuir


3 de julio de 2024Sala de prensaSpyware / Vulnerabilidad

Se ha observado que actores de amenazas desconocidos explotan una falla de seguridad ahora parcheada en Microsoft MSHTML para entregar una herramienta de vigilancia llamada MerkSpy como parte de una campaña dirigida principalmente a usuarios de Canadá, India, Polonia y Estados Unidos.

“MerkSpy está diseñado para monitorear clandestinamente las actividades de los usuarios, capturar información confidencial y establecer persistencia en sistemas comprometidos”, dijo la investigadora de Fortinet FortiGuard Labs, Cara Lin. dicho en un informe publicado la semana pasada.

El punto de partida de la cadena de ataque es un documento de Microsoft Word que aparentemente contiene una descripción del puesto de ingeniero de software.

La seguridad cibernética

Sin embargo, al abrir el archivo se desencadena la explotación de CVE-2021-40444, una falla de alta gravedad en MSHTML que podría provocar la ejecución remota de código sin requerir interacción del usuario. Microsoft la solucionó como parte de las actualizaciones del martes de parches publicadas en septiembre de 2021.

En este caso, allana el camino para la descarga de un archivo HTML (“olerender.html”) desde un servidor remoto que, a su vez, inicia la ejecución de un shellcode incorporado después de verificar la versión del sistema operativo.

“Olerender.html” aprovecha “‘VirtualProtect’ para modificar los permisos de memoria, lo que permite que el shellcode decodificado se escriba en la memoria de forma segura”, explicó Lin.

“A continuación, ‘CreateThread’ ejecuta el código shell inyectado, lo que prepara el terreno para la descarga y ejecución del siguiente payload desde el servidor del atacante. Este proceso garantiza que el código malicioso se ejecute sin problemas, lo que facilita una mayor explotación”.

El shellcode sirve como descargador para un archivo engañosamente titulado “GoogleUpdate” pero que, en realidad, alberga una carga útil de inyección responsable de evadir la detección del software de seguridad y cargar MerkSpy en la memoria.

El software espía se mantiene en el host a través de cambios en el Registro de Windows, de modo que se ejecuta automáticamente al iniciar el sistema. También tiene la capacidad de capturar información confidencial de forma clandestina, monitorear las actividades de los usuarios y exfiltrar datos a servidores externos bajo el control de los actores de la amenaza.

La seguridad cibernética

Esto incluye capturas de pantalla, pulsaciones de teclas, credenciales de inicio de sesión almacenadas en Google Chrome y datos de la extensión del navegador MetaMask. Toda esta información se transmite a la URL “45.89.53[.]46/google/actualización[.]”php.”

El desarrollo se produce luego de que Symantec detallara una campaña de smishing dirigida a usuarios en los EE. UU. con mensajes SMS sospechosos que pretenden ser de Apple y tienen como objetivo engañarlos para que hagan clic en páginas falsas de recolección de credenciales (“signin.authen-connexion[.]info/icloud”) para poder seguir utilizando los servicios.

“El sitio web malicioso es accesible tanto desde navegadores de escritorio como móviles”, dijo la empresa propiedad de Broadcom. dicho“Para añadir una capa de legitimidad aparente, han implementado un CAPTCHA que los usuarios deben completar. Después de esto, los usuarios son dirigidos a una página web que imita una plantilla de inicio de sesión de iCloud obsoleta”.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Más trabajadores inmigrantes que residentes: ira y campaña de firmas en Oudemolen
Next: Gerhard König abofeteó una vez a Franz Beckenbauer: luto "hombre contoneándose"

Related Stories

Intel invierte 5 mil millones de euros en Irlanda para
  • Tecnología

Intel invierte 5 mil millones de euros en Irlanda para acelerar la IA y los centros de datos

teknomers 15 de Temmuz de 2026
Apple alerta: estas estafas de FaceTime explotan, millones de usuarios
  • Tecnología

Apple alerta: estas estafas de FaceTime explotan, millones de usuarios afectados

teknomers 15 de Temmuz de 2026
Este sedán BYD de casi 5 metros quiere seducir a
  • Tecnología

Este sedán BYD de casi 5 metros quiere seducir a los jóvenes, tiene un argumento sólido.

teknomers 15 de Temmuz de 2026

You May Have Missed

  • Deporte

Copa Mundial 2026: Inglaterra vs Argentina es el partido más importante de los Tres Leones desde 1966

teknomers 15 de Temmuz de 2026
  • General

Elon Musk probablemente violó la ley al prometer a los votantes pagos de $1 millón: junta de Wisconsin

teknomers 15 de Temmuz de 2026
  • General

Estados Unidos: un muerto y dos desaparecidos en el naufragio de un barco cerca de la prisión de Alcatraz, en San Francisco

teknomers 15 de Temmuz de 2026
Copa del Mundo 2026: las impresionantes imágenes de la fervor
  • Deporte

Copa del Mundo 2026: las impresionantes imágenes de la fervor de los hinchas argentinos, que recrean Buenos Aires en Atlanta antes de la semifinal

teknomers 15 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.