I ricercatori di cybersecurity presso FortiGuard Labs hanno scoperto un attacco informatico sofisticato che sfrutta una vulnerabilità nota in Microsoft Office per distribuire un potente spyware denominato MerkSpy. Questo malware insidioso è progettato per infiltrarsi nei sistemi, monitorare l’attività degli utenti e rubare informazioni sensibili, rappresentando una minaccia significativa per individui e organizzazioni.
Descrizione dell’attacco
- Veicolo di attacco: L’attacco inizia con un documento Microsoft Word apparentemente innocuo, spesso mascherato da annuncio di lavoro o altro contenuto allettante.
- Sfruttamento della vulnerabilità: All’apertura del documento, viene attivata la vulnerabilità (CVE-2021-40444), consentendo agli attaccanti di eseguire codice dannoso e scaricare ulteriori payload.
- File malevolo: Il documento dannoso attiva il download del file “olerender.html” da un server remoto. Questo file HTML è accuratamente progettato, con uno script inizialmente benigno per mascherare il suo vero scopo. La parte finale del file nasconde il codice shell e il processo di iniezione, che progrediscono l’attacco una volta eseguiti sul computer della vittima.
Meccanismo di attacco
Il file “olerender.html” verifica la versione del sistema operativo. Se rileva un’architettura X64, estrae il codice shell “sc_x64”.
Dopo aver determinato la versione del sistema operativo ed estratto il codice shell appropriato, “olerender.html” individua e recupera le API di Windows “VirtualProtect” e “CreateThread”.
VirtualProtect: modifica i permessi della memoria, permettendo al codice shell decodificato di essere scritto in memoria in modo sicuro.
CreateThread: esegue il codice shell iniettato, preparando il terreno per il successivo download del payload dal server degli attaccanti.
Caratteristiche dello spyware MerkSpy
- Funzionalità: MerkSpy è un potente strumento nelle mani dei cybercriminali, capace di registrare silenziosamente i tasti premuti, catturare schermate e persino rubare le credenziali di accesso dai browser web popolari come Chrome.
- Trasmissione dei dati: Le informazioni rubate vengono trasmesse ai server degli attaccanti, potenzialmente compromettendo dati personali e finanziari.
Osservazioni e raccomandazioni
- Aree geografiche colpite: L’attacco è stato osservato in Nord America e India, evidenziando la portata globale di questa minaccia.
- Misure di protezione: FortiGuard Labs esorta individui e organizzazioni a rimanere vigili e adottare misure proattive per proteggersi, tra cui mantenere il software aggiornato, esercitare cautela nell’aprire allegati da fonti sconosciute e implementare soluzioni di sicurezza robuste.
Cara Lin, ricercatrice senior presso FortiGuard Labs, ha dichiarato: “Questo codice shell decodifica il contenuto scaricato per eseguire un iniettore responsabile del caricamento dello spyware MerkSpy in memoria e della sua integrazione con i processi di sistema attivi. MerkSpy è capace di attività di sorveglianza sofisticate, tra cui la registrazione dei tasti premuti, la cattura di schermate e la raccolta dei dati di accesso del browser Chrome.”