MerkSpy, come un documento Word può compromettere la sicurezza dei dati

FortiGuard Labs Threat Research ha descritto un attacco informatico complesso che sfrutta la vulnerabilità CVE-2021-40444 in Microsoft Office per distribuire il payload di uno spyware noto come MerkSpy. Questa vulnerabilità (risolta nel 2021) consente a un aggressore di eseguire codice arbitrario sul computer della vittima senza richiedere ulteriore interazione dell’utente oltre all’apertura del documento.

La catena d’infezione

Questo malware è progettato per monitorare in modo subdolo le attività degli utenti, catturare informazioni sensibili come battiture e credenziali di accesso al browser Chrome ed esfiltrare i dati al proprio server C2 (45.89.53[.]46).

L’attacco inizia con un documento Word malevolo che si presenta come una proposta di lavoro, il quale attiva (una volta aperto e concessa la possibilità di modifica) la vulnerabilità per eseguire codice arbitrario sulla macchina della vittima (1).

Fonte FortiGuard Labs

Si tratta di una vulnerabilità RCE all’interno del componente MSHTML utilizzato da Internet Explorer in Microsoft Office che porta in questo caso al download di un file HTML olerender.html (2) che estrae ed esegue una shellcode (downloader) per la fase successiva (3) che a sua volta scarica (4) e decodifica il payload principale di MerkSpy (5). La funzione principale del payload estratto (protetto attraverso il packer antidebug/antidump VMProtect) è quella di iniettare lo spyware MerkSpy nei processi di sistema (6). Il malware ottiene così persistenza mascherandosi come un aggiornamento Google e avviandosi automaticamente all’avvio del sistema.

MerkSpy ottiene la persistenza mascherandosi da “Google Update”, aggiungendo una voce di registro per “GoogleUpdate.exe” in “Software\Microsoft\Windows\CurrentVersion\Run”. Questa tattica ingannevole”, spiega Cara Lin di FortiGuard Labs, “garantisce che MerkSpy si avvii automaticamente all’avvio del sistema, consentendo un funzionamento continuo e l’esfiltrazione dei dati senza la consapevolezza o il consenso dell’utente“.

Alcuni consigli per proteggersi da malware come MerkSpy

1. Aggiorna il software: Mantieni sempre aggiornati il sistema operativo e le applicazioni, specialmente Microsoft Office, per correggere le vulnerabilità note.

2. Usa software antivirus: Installa e aggiorna regolarmente un buon software antivirus che possa rilevare e bloccare malware come MerkSpy.

3. Abilita le macro con cautela: Le macro possono essere utilizzate per eseguire codice malevolo. Abilita le macro solo per documenti di cui ti fidi.

4. Fai attenzione agli allegati e-mail: Non aprire allegati da mittenti sconosciuti o sospetti. Anche se il mittente sembra familiare, verifica sempre l’autenticità del messaggio.

5. Usa l’autenticazione a due fattori (2FA): Abilita 2FA per i tuoi account online per aggiungere un ulteriore livello di sicurezza.

6. Formazione e consapevolezza: Mantieni te stesso e i tuoi colleghi informati sui rischi di sicurezza informatica e sulle migliori pratiche per evitarli.

Ulteriori dettagli tecnici e gli IoC sulla campagna in oggetto sono disponibili per la consultazione sul rapporto pubblicato.

Su Salvatore Lombardo 258 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.