{"id":1261843,"date":"2024-07-03T10:49:39","date_gmt":"2024-07-03T10:49:39","guid":{"rendered":"https:\/\/teknomers.com\/es\/se-aprovecha-una-falla-de-mshtml-de-microsoft-para-distribuir-la-herramienta-espia-merkspy\/"},"modified":"2024-07-03T10:49:43","modified_gmt":"2024-07-03T10:49:43","slug":"se-aprovecha-una-falla-de-mshtml-de-microsoft-para-distribuir-la-herramienta-espia-merkspy","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/se-aprovecha-una-falla-de-mshtml-de-microsoft-para-distribuir-la-herramienta-espia-merkspy\/","title":{"rendered":"Se aprovecha una falla de MSHTML de Microsoft para distribuir la herramienta esp\u00eda MerkSpy"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">3 de julio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de prensa<\/span><\/span><span class=\"p-tags\">Spyware \/ Vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Se-aprovecha-una-falla-de-MSHTML-de-Microsoft-para-distribuir.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se ha observado que actores de amenazas desconocidos explotan una falla de seguridad ahora parcheada en Microsoft MSHTML para entregar una herramienta de vigilancia llamada <strong>MerkSpy<\/strong> como parte de una campa\u00f1a dirigida principalmente a usuarios de Canad\u00e1, India, Polonia y Estados Unidos.<\/p>\n<p>&#8220;MerkSpy est\u00e1 dise\u00f1ado para monitorear clandestinamente las actividades de los usuarios, capturar informaci\u00f3n confidencial y establecer persistencia en sistemas comprometidos&#8221;, dijo la investigadora de Fortinet FortiGuard Labs, Cara Lin. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/merkspy-exploiting-cve-2021-40444-to-infiltrate-systems\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada.<\/p>\n<p>El punto de partida de la cadena de ataque es un documento de Microsoft Word que aparentemente contiene una descripci\u00f3n del puesto de ingeniero de software.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718513814_760_Hacker-britanico-vinculado-al-notorio-grupo-de-aranas-dispersas-arrestado.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Sin embargo, al abrir el archivo se desencadena la explotaci\u00f3n de CVE-2021-40444, una falla de alta gravedad en MSHTML que podr\u00eda provocar la ejecuci\u00f3n remota de c\u00f3digo sin requerir interacci\u00f3n del usuario. Microsoft la solucion\u00f3 como parte de las actualizaciones del martes de parches publicadas en septiembre de 2021.<\/p>\n<p>En este caso, allana el camino para la descarga de un archivo HTML (&#8220;olerender.html&#8221;) desde un servidor remoto que, a su vez, inicia la ejecuci\u00f3n de un shellcode incorporado despu\u00e9s de verificar la versi\u00f3n del sistema operativo.<\/p>\n<p>&#8220;Olerender.html&#8221; aprovecha &#8220;&#8216;VirtualProtect&#8217; para modificar los permisos de memoria, lo que permite que el shellcode decodificado se escriba en la memoria de forma segura&#8221;, explic\u00f3 Lin.<\/p>\n<p>&#8220;A continuaci\u00f3n, &#8216;CreateThread&#8217; ejecuta el c\u00f3digo shell inyectado, lo que prepara el terreno para la descarga y ejecuci\u00f3n del siguiente payload desde el servidor del atacante. Este proceso garantiza que el c\u00f3digo malicioso se ejecute sin problemas, lo que facilita una mayor explotaci\u00f3n&#8221;.<\/p>\n<p>El shellcode sirve como descargador para un archivo enga\u00f1osamente titulado &#8220;GoogleUpdate&#8221; pero que, en realidad, alberga una carga \u00fatil de inyecci\u00f3n responsable de evadir la detecci\u00f3n del software de seguridad y cargar MerkSpy en la memoria.<\/p>\n<p>El software esp\u00eda se mantiene en el host a trav\u00e9s de cambios en el Registro de Windows, de modo que se ejecuta autom\u00e1ticamente al iniciar el sistema. Tambi\u00e9n tiene la capacidad de capturar informaci\u00f3n confidencial de forma clandestina, monitorear las actividades de los usuarios y exfiltrar datos a servidores externos bajo el control de los actores de la amenaza.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-amplia-los-objetivos-de-los-ciberataques-en-Rusia.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Esto incluye capturas de pantalla, pulsaciones de teclas, credenciales de inicio de sesi\u00f3n almacenadas en Google Chrome y datos de la extensi\u00f3n del navegador MetaMask. Toda esta informaci\u00f3n se transmite a la URL &#8220;45.89.53[.]46\/google\/actualizaci\u00f3n[.]&#8221;php.&#8221;<\/p>\n<p>El desarrollo se produce luego de que Symantec detallara una campa\u00f1a de smishing dirigida a usuarios en los EE. UU. con mensajes SMS sospechosos que pretenden ser de Apple y tienen como objetivo enga\u00f1arlos para que hagan clic en p\u00e1ginas falsas de recolecci\u00f3n de credenciales (&#8220;signin.authen-connexion[.]info\/icloud&#8221;) para poder seguir utilizando los servicios.<\/p>\n<p>&#8220;El sitio web malicioso es accesible tanto desde navegadores de escritorio como m\u00f3viles&#8221;, dijo la empresa propiedad de Broadcom. <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/apple-ids-targeted-in-us-smishing-campaign\" target=\"_blank\">dicho<\/a>&#8220;Para a\u00f1adir una capa de legitimidad aparente, han implementado un CAPTCHA que los usuarios deben completar. Despu\u00e9s de esto, los usuarios son dirigidos a una p\u00e1gina web que imita una plantilla de inicio de sesi\u00f3n de iCloud obsoleta&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/microsoft-mshtml-flaw-exploited-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue8023 de julio de 2024\ue804Sala de prensaSpyware \/ Vulnerabilidad Se ha observado que actores de amenazas desconocidos explotan<\/p>\n","protected":false},"author":1,"featured_media":1261844,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6132,4661,4664,5702,10040,2503,4662,1086,4668,4667,239182,240527,7983,240526,4654,239508,4658,4659,4653,18,4666,4665,158,239484],"class_list":["post-1261843","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovecha","tag-ataques-ciberneticos","tag-como-hackear","tag-distribuir","tag-espia","tag-falla","tag-filtracion-de-datos","tag-herramienta","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-merkspy","tag-microsoft","tag-mshtml","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-una","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1261843","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1261843"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1261843\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1261844"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1261843"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1261843"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1261843"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}