Хакеры используют ошибку Microsoft MSHTML, чтобы украсть кредиты Google и Instagram

12
Хакеры используют ошибку Microsoft MSHTML, чтобы украсть кредиты Google и Instagram

Недавно обнаруженный иранский злоумышленник крадет учетные данные Google и Instagram, принадлежащие целям, говорящим на фарси, по всему миру, используя новый стилер на основе PowerShell, получивший название PowerShortShell от исследователей безопасности из SafeBreach Labs.

Кража информации также используется для наблюдения в Telegram и сбора системной информации с взломанных устройств, которая отправляется на контролируемые злоумышленником серверы вместе с украденными учетными данными.

Как выяснила SafeBreach Labs, атаки (о которых было публично сообщено в сентябре в Twitter группой Shadow Chaser Group) начались в июле как целевые фишинговые электронные письма.

Они нацелены на пользователей Windows с помощью вредоносных вложений Winword, которые используют ошибку удаленного выполнения кода (RCE) Microsoft MSHTML, отслеживаемую как CVE-2021-40444.

Полезная нагрузка стилера PowerShortShell выполняется библиотекой DLL, загруженной в скомпрометированные системы. После запуска сценарий PowerShell начинает сбор данных и снимков экрана, пересылая их на командный сервер злоумышленника.

«Почти половина жертв находится в Соединенных Штатах. На основании содержания документа Microsoft Word, в котором лидер Ирана обвиняется в« резне в короне », и характера собранных данных, мы предполагаем, что жертвами могут быть иранцы, проживающие за границей. и может рассматриваться как угроза исламскому режиму Ирана », — сказал Томер Бар, директор по исследованиям безопасности SafeBreach Labs.

«Противник может быть связан с исламским режимом Ирана, поскольку использование Telegram для слежки типично для таких иранских угроз, как Infy, Ferocious Kitten и Rampant Kitten».

Ошибка CVE-2021-40444 RCE, влияющая на механизм рендеринга MSTHML IE, использовалась в дикой природе как нулевой день, начиная с 18 августа, более чем за две недели до того, как Microsoft выпустила рекомендацию по безопасности с частичным обходным решением , и за три недели до патча. был выпущен .

Совсем недавно он использовался в сочетании с вредоносной рекламой банды вымогателей Magniber для заражения целей вредоносным ПО и шифрования их устройств.

Microsoft также сообщила, что несколько злоумышленников, в том числе аффилированные с программами-вымогателями, нацелились на эту ошибку Windows MSHTML RCE, используя злонамеренно созданные документы Office, доставленные с помощью фишинговых атак.

В этих атаках использовалась уязвимость CVE-2021-40444 «в рамках кампании начального доступа, в рамках которой распространялись пользовательские загрузчики Cobalt Strike Beacon».

Развернутые маяки взаимодействовали с вредоносной инфраструктурой, связанной с несколькими кампаниями по борьбе с киберпреступлениями, включая, помимо прочего, программы-вымогатели, управляемые человеком.

Неудивительно, что все больше и больше злоумышленников используют эксплойты CVE-2021-40444, поскольку злоумышленники начали публиковать учебные пособия и экспериментальные эксплойты на хакерских форумах еще до того, как ошибка была исправлена.

Это, вероятно, позволило другим злоумышленникам и группам начать использовать брешь в безопасности в своих атаках.

Информация, доступная в Интернете, проста в использовании и позволяет любому легко создать собственную рабочую версию эксплойта CVE-2021-40444, включая сервер Python, который может распространять вредоносные документы и файлы CAB в скомпрометированные системы.

Используя эту информацию, BleepingComputer также может успешно воспроизвести эксплойт примерно за 15 минут, как показано в этой видео-демонстрации.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here