详细内容或原文请订阅后点击阅览
简历陷阱:黑客将求职变成网络攻击
研究人员发现了一个针对招聘人员的全球攻击计划。
来源:安全实验室新闻频道研究人员发现了一个针对招聘人员的全球攻击计划。
未知黑客正在利用 Microsoft MSHTML 中的漏洞分发 MerkSpy 间谍软件,目标是加拿大、印度、波兰和美国的用户。该漏洞早已被修复,但攻击者仍在积极利用它,攻击未更新的系统。
Fortinet 研究员 Kara Lin 表示,MerkSpy 秘密监视用户活动,捕获敏感信息,并在受感染的系统上持续存在。
飞塔 告诉,攻击首先打开包含程序员职位描述的 Microsoft Word 文档。打开该文件会触发漏洞 CVE-2021-40444 的利用,从而导致无需用户交互即可远程执行代码。
CVE-2021-40444,此进程从远程服务器下载 HTML 文件(“olerender.html”),该文件在检查操作系统版本后运行嵌入式 shellcode。 “Olerender.html”使用“VirtualProtect”函数更改内存权限,允许将解码后的shellcode写入内存。然后“CreateThread”运行注入的shellcode,准备从攻击者的服务器下载并执行下一个恶意代码。
HTMLshellcode 下载一个名为“GoogleUpdate”的文件,该文件实际上包含一个注入器有效负载,可以逃避防病毒软件并将 MerkSpy 下载到系统内存中。间谍软件通过更改 Windows 注册表来维持其在设备上的存在,确保在系统启动时自动启动。
MerkSpy 能够捕获屏幕截图、记录击键、收集存储在 Google Chrome 中的登录数据以及来自 MetaMask 扩展程序的数据以管理加密钱包。所有收集的数据都会发送到攻击者的服务器。