Bilinmeyen tehdit aktörlerinin, Microsoft MSHTML’deki artık düzeltilmiş bir güvenlik açığını kullanarak bir gözetim aracı sağladığı gözlemlendi. MarkaSpy öncelikli olarak Kanada, Hindistan, Polonya ve ABD’deki kullanıcıları hedefleyen bir kampanyanın parçası olarak
Fortinet FortiGuard Labs araştırmacısı Cara Lin geçen hafta yayınlanan bir raporda, “MerkSpy, kullanıcı faaliyetlerini gizlice izlemek, hassas bilgileri ele geçirmek ve tehlikeye atılmış sistemlerde kalıcılık sağlamak için tasarlanmıştır” dedi.
Saldırı zincirinin başlangıç noktası, görünüşte bir yazılım mühendisi rolü için bir iş tanımı içeren bir Microsoft Word belgesidir.
Ancak dosyayı açmak, herhangi bir kullanıcı etkileşimi gerektirmeden uzaktan kod yürütülmesine neden olabilecek MSHTML’deki yüksek önem dereceli bir kusur olan CVE-2021-40444’ün istismarını tetikler. Bu, Microsoft tarafından Eylül 2021’de yayınlanan Patch Tuesday güncellemelerinin bir parçası olarak ele alındı.
Bu durumda, uzak bir sunucudan bir HTML dosyasının (“olerender.html”) indirilmesinin yolu açılır ve bu da işletim sistemi sürümünü kontrol ettikten sonra gömülü bir kabuk kodunun yürütülmesini başlatır.
Lin, “Olerender.html”in “bellek izinlerini değiştirmek için ‘VirtualProtect’ten yararlandığını ve kodlanmış kabuk kodunun belleğe güvenli bir şekilde yazılmasına olanak sağladığını” açıkladı.
“Bunun ardından, ‘CreateThread’ enjekte edilen kabuk kodunu yürütür ve saldırganın sunucusundan bir sonraki yükün indirilmesi ve yürütülmesi için ortamı hazırlar. Bu süreç, kötü amaçlı kodun sorunsuz bir şekilde çalışmasını sağlayarak daha fazla istismara olanak tanır.”
Kabuk kodu, aldatıcı bir şekilde “GoogleUpdate” olarak adlandırılan bir dosyanın indiricisi olarak hizmet veriyor, ancak gerçekte, güvenlik yazılımları tarafından tespit edilmekten kaçınan ve MerkSpy’ı belleğe yükleyen bir enjektör yükü barındırıyor.
Casus yazılım, Windows Kayıt Defteri değişiklikleri yoluyla ana bilgisayarda kalıcılık kurar ve böylece sistem başlatıldığında otomatik olarak başlatılır. Ayrıca hassas bilgileri gizlice yakalama, kullanıcı etkinliklerini izleme ve tehdit aktörlerinin kontrolü altındaki harici sunuculara veri sızdırma yetenekleriyle birlikte gelir.
Bunlara ekran görüntüleri, tuş vuruşları, Google Chrome’da depolanan oturum açma bilgileri ve MetaMask tarayıcı uzantısından gelen veriler dahildir. Tüm bu bilgiler “45.89.53 URL’sine iletilir[.]46/google/güncelleme[.]”php.”
Gelişme, Symantec’in ABD’deki kullanıcıları, Apple’dan geliyormuş gibi görünen ve sahte kimlik bilgisi toplama sayfalarına (“signin.authen-connexion”) tıklamaları için kandırmayı amaçlayan şüpheli SMS mesajlarıyla hedef alan bir smishing kampanyasını ayrıntılarıyla açıklamasının ardından geldi.[.]Hizmetleri kullanmaya devam edebilmek için “info/icloud” hesabınızın açık olması gerekmektedir.
Broadcom’a ait şirket, “Kötü amaçlı web sitesine hem masaüstü hem de mobil tarayıcılardan erişilebilir,” dedi. “Algılanan meşruiyet katmanı eklemek için kullanıcıların tamamlaması gereken bir CAPTCHA uyguladılar. Bundan sonra kullanıcılar, güncel olmayan bir iCloud oturum açma şablonunu taklit eden bir web sayfasına yönlendiriliyor.”