Киберпреступники атакуют через уязвимость MSHTML, распространяя MerkSpy

Кибератаки с использованием вредоносной программы MerkSpy стали новой угрозой для пользователей в различных странах, включая Канаду, Индию, Польшу и США. Атаки начинаются с фишинговых писем, содержащих приставленные файлы Microsoft Word с маскировкой под документы о вакансиях.

Эти документы эксплуатируют уязвимость CVE-2021-40444 в MSHTML, которая позволяет злоумышленникам выполнять удаленный код без участия пользователя. Хотя Microsoft исправила эту уязвимость, она продолжает использоваться в кампаниях, направленных на загрузку вредоносного HTML-кода с удаленных серверов. Этот код запускает MerkSpy, который используется для сбора конфиденциальных данных, мониторинга активности пользователей и установки дополнительных компонентов для дальнейшей эксплуатации системы.

После установки MerkSpy вредоносное ПО остается незаметным, изменяя реестр Windows для автоматического запуска при каждом включении компьютера. Программа способна перехватывать данные, такие как скриншоты, нажатия клавиш, данные из браузера Google Chrome и информацию из расширений, таких как MetaMask, и передавать их на удаленные серверы, управляемые атакующими.

Кроме того, ситуация усугубляется новой волной фишинговых атак через SMS, нацеленных на пользователей в США, призывающих перейти на поддельные страницы для ввода учетных данных iCloud. Эти страницы используют CAPTCHA для создания ложного ощущения легитимности, что увеличивает риск поддаться на обман и стать жертвой кибератаки.

Эксперты рекомендуют пользователям быть предельно осторожными при открытии вложений и переходе по ссылкам в ненадежных письмах и сообщениях. Особенно важно регулярно обновлять программное обеспечение и использовать надежные средства защиты для предотвращения подобных угроз.