Уязвимость в Microsoft MSHTML используется для кражи учетных данных Google и Instagram

ИБ-эксперты из компании SafeBreach Labs предупредили, что иранские хакеры используют уязвимость CVE-2021-40444 для кражи учетных данных от аккаунтов Google и Instagram. Злоумышленники в основном атакуют пользователей, говорящих на фарси, пишет Хакер.

Исследователи пишут, что атаки осуществляются с помощью PowerShell-стилера, которому дали имя PowerShortShell. Также стилер используется для шпионажа с помощью Telegram и сбора системной информации с взломанных устройств, которая отправляется на контролируемые злоумышленниками серверы вместе с украденными учетными данными.

Изначально специалисты обнаружили этих хакеров еще в сентябре, но теперь рассказали о деятельности группировки более детально. Атаки начали еще в июле, с направленных рассылок фишинговых писем. Такие послания нацелены на пользователей Windows и эксплуатируют ошибку удаленного выполнения кода (RCE), связанную с Microsoft MSHTML. Этот баг имеет идентификатор CVE-2021-40444.

Полезная нагрузка стилера PowerShortShell выполняется DLL, который загружается в скомпрометированные системы. После запуска скрипт PowerShell начинает сбор данных и делает скриншоты, который затем отправляет на командный сервер хакеров.

«Почти половина жертв [этой кампании] находится в Соединенных Штатах. Судя по содержимому документа-приманки, в котором лидер Ирана обвиняется в «корона-бойне», а также основываясь на характере собранных данных, мы предполагаем, что жертвами могли быть иранцы, проживающие за границей», — говорят в SafeBreach Labs.