网络安全专家发现了一个针对加拿大、印度、波兰和美国用户的复杂攻击活动，攻击者利用Microsoft的MSHTML引擎中以前已解决的漏洞来传播一种名为MerkSpy的监控工具。

攻击的复杂性

安全漏洞的初始阶段涉及一个看似无害的Microsoft Word文档，该文档声称提供软件工程师的职位描述。然而，打开该文档会激活对CVE202140444的利用，这是一种严重的MSHTML漏洞，允许远程代码执行，而无需用户交互。

微软在2021年9月的补丁星期二更新中已解决了此问题。“MerkSpy旨在秘密监控用户活动、捕获敏感信息，并在被入侵的系统上建立持久性，”Fortinet FortiGuard Labs的研究员Cara Lin说。

该文档会从远程服务器下载一个名为“olerenderhtml”的HTML文件，随后执行嵌入的“scx64” shell代码。在确定操作系统版本并提取正确的shell代码后，“olerenderhtml”使用Windows API“VirtualProtect”和“CreateThread”。

获取Windows API来源：Fortinet

“VirtualProtect”的作用是调整内存权限，确保将解码的shell代码安全地插入内存中。然后，使用“CreateThread”来执行shell代码，为随后从攻击者服务器下载和执行下一个有效载荷铺平道路。

MerkSpy的运作方式

该shell代码主要作为下载器，用于下载一个名为“GoogleUpdate”的虚假文件。实际上，这个文件包含一个注入有效载荷，旨在规避杀毒软件的检测，并直接将MerkSpy加载到系统的内存中。

下载的“GoogleUpdate”文件来源：Fortinet

MerkSpy间谍软件在感染的系统中悄然运行，捕获敏感信息，监控用户活动，并将数据发送到黑客操作的远程服务器。

一旦激活，MerkSpy会修改Windows注册表，确保每次计算机启动时自动运行。它会秘密捕获屏幕截图、记录按键，并收集存储在Google Chrome中的登录凭据以及来自MetaMask浏览器扩展的数据。这些敏感数据随后被发送到黑客的服务器。

最后提醒

为了防范此类威胁，用户应确保系统更新到最新安全补丁，并谨慎打开未请求的文档。保持警惕和了解信息对于保护个人和组织的数据免受如MerkSpy这类复杂网络威胁至关重要。

Anas Hasan

2024年7月4日

4个月前

Anas Hasan是一名技术极客和网络安全爱好者。他在数字转型行业拥有丰富的经验。当Anas不在写博客时，他会观看足球比赛。