Ouvidoria 0800 718 2048 | SAC 0800 200 6070 | Sinistros 0800 202 2042

Manchetes do Mercado

5 de julho de 2024

Microsoft corrige falha explorada por campanha de malware

Compartilhe

Recentemente, uma vulnerabilidade no MSHTML da Microsoft foi corrigida, mas não antes de ser explorada por cibercriminosos para disseminar o spyware MerkSpy. Esta campanha maliciosa tem como alvos principais usuários no Canadá, Índia, Polônia e Estados Unidos, de acordo com uma pesquisa da Fortinet.

Como o Ataque Ocorre

O ataque começa com um documento do Microsoft Word que supostamente descreve uma vaga para engenheiro de software. Ao abrir o arquivo, a vulnerabilidade CVE-2021-40444 é explorada, permitindo a execução de código remoto sem qualquer interação do usuário. A Microsoft corrigiu essa falha em setembro de 2021, durante o Patch Tuesday.

Etapas da Infecção

Após a exploração inicial, um arquivo HTML é baixado de um servidor remoto. Este arquivo verifica a versão do sistema operacional e executa um shellcode embutido, que então baixa e executa um arquivo disfarçado como “GoogleUpdate”. Na realidade, este arquivo carrega o MerkSpy na memória do sistema, evitando a detecção por softwares de segurança.

Funcionalidades do MerkSpy

O MerkSpy se estabelece no sistema host alterando o Registro do Windows, garantindo sua execução automática na inicialização do sistema. Ele captura informações como capturas de tela, registros de teclas, credenciais de login armazenadas no Google Chrome e dados da extensão MetaMask, transmitindo essas informações para servidores controlados pelos atacantes.

Histórico da Vulnerabilidade

A vulnerabilidade CVE-2021-40444 permite a execução remota de código e tem sido uma preocupação significativa para a segurança cibernética. Ataques utilizando essa falha começaram a ser observados em agosto de 2021, antes mesmo da vulnerabilidade ser publicamente divulgada. Diversos grupos de cibercriminosos, incluindo afiliados de ransomware como o Ryuk, exploraram essa falha para distribuir cargas maliciosas, como o Cobalt Strike.

Medidas de Mitigação

Para mitigar esses ataques, recomenda-se a aplicação imediata das atualizações de segurança da Microsoft. Além disso, é aconselhável desativar controles ActiveX via Política de Grupo e configurar o Office para abrir documentos da internet no modo Protegido.

A vulnerabilidade no MSHTML e a subsequente campanha de malware demonstram a importância de manter sistemas e softwares sempre atualizados para prevenir exploits e proteger informações sensíveis.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber:

microsoft malware seguro cyber

Publicado em: