Free

Microsoft MSHTML-Fehler öffnet die Tore für Spyware

Unbekannte Bedrohungsakteure haben eine inzwischen behobene Sicherheitslücke in Microsoft MSHTML ausgenutzt, um das Überwachungsprogramm MerkSpy zu verbreiten. Diese Kampagne richtete sich hauptsächlich gegen Nutzer in Kanada, Indien, Polen und den USA.

Bedrohungen
Lesezeit 2 Min.

Laut Fortinet FortiGuard Labs-Wissenschaftlerin Cara Lin wurde MerkSpy entwickelt, um heimlich Benutzeraktivitäten zu überwachen, sensible Informationen abzufangen und dabei auf kompromittierten Systemen unbemerkt zu bleiben.

Der Angriff beginnt mit einem Microsoft Word-Dokument, das vorgibt, eine Stellenbeschreibung für einen Software-Ingenieur zu enthalten. Beim Öffnen der Datei wird jedoch die Sicherheitslücke CVE-2021-40444 in MSHTML ausgenutzt, eine sehr gefährliche Schwachstelle, die es ermöglicht, Remotecode auszuführen, ohne dass der Benutzer etwas tun muss. Microsoft hat diese Schwachstelle in den im September 2021 veröffentlichten Patch Tuesday-Updates behoben.

In diesem Fall führt die Schwachstelle zum Herunterladen einer HTML-Datei („olerender.html“) von einem entfernten Server. Diese Datei überprüft die Betriebssystemversion und führt dann eingebetteten Shellcode aus. „Die Datei ‚olerender.html‘ nutzt ‚VirtualProtect‘, um die Speicherberechtigungen zu ändern, damit der entschlüsselte Shellcode sicher in den Speicher geschrieben werden kann,“ erklärt Lin.

Danach führt ‚CreateThread‘ den eingeschleusten Shellcode aus, wodurch der nächste bösartige Code vom Server des Angreifers heruntergeladen und ausgeführt wird. Dieser Vorgang sorgt dafür, dass der schädliche Code reibungslos läuft und weitere Angriffe ermöglicht werden. Der Shellcode lädt eine Datei herunter, die als „GoogleUpdate“ bezeichnet wird, in Wirklichkeit aber einen Injektor-Code enthält. Dieser Code tarnt sich, um nicht durch Sicherheitssoftware entdeckt zu werden und lädt schließlich MerkSpy in den Speicher.

Die Spyware bleibt auf dem infizierten Computer durch Änderungen der Windows-Registrierung bestehen, sodass sie beim Systemstart automatisch aktiviert wird. Sie kann heimlich sensible Informationen abfangen, Benutzeraktivitäten überwachen und Daten an externe Server der Angreifer weiterleiten. Dazu gehören Screenshots, Tastatureingaben, in Google Chrome gespeicherte Anmeldeinformationen und Daten aus der MetaMask-Browsererweiterung. Diese Informationen werden an die URL „45.89.53[.]46/google/update[.]php“ gesendet.

Symantec berichtet von einer Smishing-Kampagne, die sich an Nutzer in den USA richtet. Die Angreifer versenden gefälschte SMS-Nachrichten, die angeblich von Apple stammen, um die Nutzer dazu zu bringen, auf betrügerische Seiten zu klicken, die darauf abzielen, Zugangsdaten zu stehlen („signin.authen-connexion[.]info/icloud“). „Die bösartige Website ist sowohl von Desktop- als auch von mobilen Browsern aus zugänglich“, so das zu Broadcom gehörende Unternehmen. „Um legitim zu wirken, haben die Angreifer ein CAPTCHA eingebaut, das die Benutzer ausfüllen müssen. Danach werden sie auf eine Webseite weitergeleitet, die eine veraltete iCloud-Anmeldemaske nachahmt.“

Diesen Beitrag teilen: