5 de julho de 2024

Microsoft corrige falha explorada por campanha de malware

Compartilhe

Recentemente, uma vulnerabilidade no MSHTML da Microsoft foi corrigida, mas não antes de ser explorada por cibercriminosos para disseminar o spyware MerkSpy. Esta campanha maliciosa tem como alvos principais usuários no Canadá, Índia, Polônia e Estados Unidos, de acordo com uma pesquisa da Fortinet.

Como o Ataque Ocorre

O ataque começa com um documento do Microsoft Word que supostamente descreve uma vaga para engenheiro de software. Ao abrir o arquivo, a vulnerabilidade CVE-2021-40444 é explorada, permitindo a execução de código remoto sem qualquer interação do usuário. A Microsoft corrigiu essa falha em setembro de 2021, durante o Patch Tuesday.

Etapas da Infecção

Após a exploração inicial, um arquivo HTML é baixado de um servidor remoto. Este arquivo verifica a versão do sistema operacional e executa um shellcode embutido, que então baixa e executa um arquivo disfarçado como “GoogleUpdate”. Na realidade, este arquivo carrega o MerkSpy na memória do sistema, evitando a detecção por softwares de segurança.

Funcionalidades do MerkSpy

O MerkSpy se estabelece no sistema host alterando o Registro do Windows, garantindo sua execução automática na inicialização do sistema. Ele captura informações como capturas de tela, registros de teclas, credenciais de login armazenadas no Google Chrome e dados da extensão MetaMask, transmitindo essas informações para servidores controlados pelos atacantes.

Histórico da Vulnerabilidade

A vulnerabilidade CVE-2021-40444 permite a execução remota de código e tem sido uma preocupação significativa para a segurança cibernética. Ataques utilizando essa falha começaram a ser observados em agosto de 2021, antes mesmo da vulnerabilidade ser publicamente divulgada. Diversos grupos de cibercriminosos, incluindo afiliados de ransomware como o Ryuk, exploraram essa falha para distribuir cargas maliciosas, como o Cobalt Strike.

Medidas de Mitigação

Para mitigar esses ataques, recomenda-se a aplicação imediata das atualizações de segurança da Microsoft. Além disso, é aconselhável desativar controles ActiveX via Política de Grupo e configurar o Office para abrir documentos da internet no modo Protegido.

A vulnerabilidade no MSHTML e a subsequente campanha de malware demonstram a importância de manter sistemas e softwares sempre atualizados para prevenir exploits e proteger informações sensíveis.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber:

Publicado em: seguro cyber

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria "Funcional".
cookielawinfo-checkbox-necessary	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessário".
cookielawinfo-checkbox-others	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Outros.
cookielawinfo-checkbox-performance	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Desempenho".
viewed_cookie_policy	11 months	O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Manchetes do Mercado

Microsoft corrige falha explorada por campanha de malware

Saiba mais sobre o Seguro Cyber:

Veja mais