Des acteurs de menaces inconnus ont été observés exploitant une faille de sécurité désormais corrigée dans Microsoft MSHTML pour fournir un outil de surveillance appelé MerkSpy dans le cadre d’une campagne ciblant principalement les utilisateurs au Canada, en Inde, en Pologne et aux États-Unis
« MerkSpy est conçu pour surveiller clandestinement les activités des utilisateurs, capturer des informations sensibles et établir une persistance sur les systèmes compromis », explique Cara Lin, chercheuse chez Fortinet FortiGuard Labs. dit dans un rapport publié la semaine dernière.
Le point de départ de la chaîne d’attaque est un document Microsoft Word qui contient apparemment une description de poste pour un poste d’ingénieur logiciel.
Mais l’ouverture du fichier déclenche l’exploitation de CVE-2021-40444, une faille de gravité élevée dans MSHTML qui pourrait entraîner l’exécution de code à distance sans nécessiter d’interaction de l’utilisateur. Cette faille a été corrigée par Microsoft dans le cadre des mises à jour Patch Tuesday publiées en septembre 2021.
Dans ce cas, il ouvre la voie au téléchargement d’un fichier HTML (« olerender.html ») depuis un serveur distant qui, à son tour, lance l’exécution d’un shellcode intégré après avoir vérifié la version du système d’exploitation.
« Olerender.html » tire parti de « ‘VirtualProtect’ pour modifier les autorisations de mémoire, permettant au shellcode décodé d’être écrit en mémoire en toute sécurité », a expliqué Lin.
« Ensuite, CreateThread exécute le shellcode injecté, préparant ainsi le terrain pour le téléchargement et l’exécution de la charge utile suivante à partir du serveur de l’attaquant. Ce processus garantit que le code malveillant s’exécute de manière transparente, facilitant ainsi toute exploitation ultérieure. »
Le shellcode sert de téléchargeur pour un fichier intitulé de manière trompeuse « GoogleUpdate » mais qui, en réalité, abrite une charge utile d’injection chargée d’échapper à la détection par les logiciels de sécurité et de charger MerkSpy en mémoire.
Le logiciel espion s’installe sur l’hôte via des modifications du registre Windows, de sorte qu’il est lancé automatiquement au démarrage du système. Il est également doté de fonctionnalités permettant de capturer clandestinement des informations sensibles, de surveiller les activités des utilisateurs et d’exfiltrer des données vers des serveurs externes sous le contrôle des acteurs de la menace.
Cela comprend les captures d’écran, les frappes au clavier, les identifiants de connexion stockés dans Google Chrome et les données de l’extension de navigateur MetaMask. Toutes ces informations sont transmises à l’URL “45.89.53[.]46/google/mise à jour[.]php.”
Cette évolution intervient alors que Symantec a détaillé une campagne de smishing ciblant les utilisateurs aux États-Unis avec des messages SMS douteux qui prétendent provenir d’Apple et visent à les inciter à cliquer sur de fausses pages de collecte d’informations d’identification (« signin.authen-connexion »).[.]info/icloud”) afin de continuer à utiliser les services.
« Le site Web malveillant est accessible à partir des navigateurs de bureau et mobiles », a déclaré la société appartenant à Broadcom. dit« Pour ajouter une couche de légitimité perçue, ils ont mis en place un CAPTCHA que les utilisateurs doivent compléter. Après cela, les utilisateurs sont dirigés vers une page Web qui imite un modèle de connexion iCloud obsolète. »