Исследователи раскрыли схему глобальной атаки на специалистов по подбору персонала.
Неизвестные хакеры используют уязвимость в Microsoft MSHTML для распространения шпионского ПО MerkSpy, нацеленное на пользователей в Канаде, Индии, Польше и США. Уязвимость была давно исправлена, но злоумышленники продолжают активно эксплуатировать ее, атакуя необновленные системы.
Кара Лин, исследователь из Fortinet, рассказала, что MerkSpy скрытно следит за действиями пользователей, захватывает конфиденциальную информацию и обеспечивает постоянное присутствие на зараженных системах.
Атака начинается с открытия документа Microsoft Word, который содержит описание вакансии программиста. Открытие файла активирует эксплуатацию уязвимости CVE-2021-40444, что приводит к удалённому выполнению кода без взаимодействия с пользователем.
Этот процесс загружает HTML-файл («olerender.html») с удаленного сервера, который запускает встроенный шелл-код после проверки версии операционной системы. «Olerender.html» использует функцию «VirtualProtect» для изменения разрешений памяти, что позволяет записать декодированный шелл-код в память. Затем «CreateThread» запускает внедренный шелл-код, подготавливая загрузку и выполнение следующего вредоносного кода с сервера злоумышленников.
Шелл-код загружает файл под именем «GoogleUpdate», который, на самом деле, содержит полезную нагрузку инжектора, скрывающуюся от антивирусного ПО и загружающую MerkSpy в память системы. Шпионское ПО сохраняет свое присутствие на устройстве через изменения в реестре Windows, обеспечивая автоматический запуск при старте системы.
MerkSpy способен захватывать скриншоты, фиксировать нажатия клавиш, собирать данные для входа, хранящиеся в Google Chrome, и данные из расширения MetaMask для управления криптокошельками. Все собранные данные отправляются на сервер злоумышленников.
Рассмотренный компанией Fortinet инцидент подчеркивает, насколько изощренными стали современные киберугрозы. Он наглядно демонстрирует, что даже обычные рабочие процессы, такие как рассмотрение резюме кандидатов, могут стать вектором атаки для злоумышленников. Этот случай служит напоминанием о необходимости комплексного подхода к кибербезопасности, включающего не только технические меры защиты, но и повышение осведомленности сотрудников о потенциальных рисках.