
Velvet Ant: Εκμεταλλεύεται zero-day ευπάθειες σε συσκευές Cisco και D-Link
4 Ιουλίου, 2024
Χάκερς εκμεταλλεύονται το ChatGPT για τη δημιουργία ψεύτικων email
8 Ιουλίου, 2024Κακόβουλοι παράγοντες εκμεταλλεύονται ένα επιδιορθωμένο κενό ασφαλείας στο Microsoft MSHTML για να διανείμουν το κακόβουλο εργαλείο παρακολούθησης MerkSpy, στοχεύοντας κυρίως χρήστες στον Καναδά, την Ινδία, την Πολωνία και τις ΗΠΑ.
Το MerkSpy σχεδιάστηκε για να παρακολουθεί διακριτικά τις δραστηριότητες χρηστών, να συλλέγει ευαίσθητες πληροφορίες και να εγκαθίσταται μόνιμα σε παραβιασμένα συστήματα, σύμφωνα με την ερευνήτρια των Fortinet FortiGuard Labs, Cara Lin.
Η επίθεση ξεκινά με ένα έγγραφο Microsoft Word που φαινομενικά περιέχει περιγραφή εργασίας για τον ρόλο μηχανικού λογισμικού. Με το άνοιγμα του αρχείου, ενεργοποιείται η ευπάθεια CVE-2021-40444, ένα σοβαρό κενό ασφαλείας στο MSHTML, που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα χωρίς αλληλεπίδραση χρήστη. Ο κακόβουλος κώδικας κατεβάζει ένα αρχείο HTML, το οποίο εκτελεί ενσωματωμένο shellcode. Αυτό με τη σειρά του κατεβάζει και εκτελεί το επόμενο φορτίο από τον server του χάκερ. Το shellcode λειτουργεί ως downloader ενός αρχείου με το όνομα “GoogleUpdate”, το οποίο περιέχει το MerkSpy.
Το MerkSpy εγκαθίσταται μόνιμα στο σύστημα, πραγματοποιώντας αλλαγές στο Windows Registry και εκκινώντας αυτόματα με την εκκίνηση του υπολογιστή. Αυτό το κακόβουλο λογισμικό μπορεί να καταγράφει ευαίσθητες πληροφορίες και δραστηριότητες χρηστών, αποστέλλοντας τα δεδομένα σε εξωτερικούς servers. Τα δεδομένα αυτά περιλαμβάνουν στιγμιότυπα οθόνης, πληκτρολογήσεις, αποθηκευμένα διαπιστευτήρια από τον Google Chrome και πληροφορίες από την επέκταση MetaMask.
Επιπλέον, η Symantec ανέφερε κακόβουλη καμπάνια SMS στην Αμερική, η οποία στοχεύει στην κλοπή διαπιστευτηρίων μέσω ψεύτικων σελίδων Apple iCloud.