Los piratas informáticos explotan el error MSHTML de Microsoft para robar las credenciales de Google e Instagram

Un actor de amenazas iraní recién descubierto está robando las credenciales de Google e Instagram que pertenecen a objetivos en idioma farsi en todo el mundo utilizando un nuevo ladrón basado en PowerShell denominado PowerShortShell por los investigadores de seguridad de SafeBreach Labs.

El ladrón de información también se utiliza para la vigilancia de Telegram y la recopilación de información del sistema de los dispositivos comprometidos que se envía a los servidores controlados por el atacante junto con las credenciales robadas.

Como descubrió SafeBreach Labs, los ataques (informado públicamente en septiembre en Twitter por Shadow Chaser Group) comenzó en julio como un correo electrónico de spear-phishing.

Se dirigen a los usuarios de Windows con archivos adjuntos maliciosos de Winword que explotan un error de ejecución remota de código (RCE) de Microsoft MSHTML registrado como CVE-2021-40444.

La carga útil de robo de PowerShortShell se ejecuta desde una DLL descargada en sistemas comprometidos. Una vez iniciado, el script de PowerShell comienza a recopilar datos e instantáneas de pantalla, exfiltrándolos en el servidor de control y comando del atacante.

"Casi la mitad de las víctimas se encuentran en Estados Unidos. Según el contenido del documento de Microsoft Word, que culpa al líder iraní de la 'masacre de Corona' y la naturaleza de los datos recopilados, asumimos que las víctimas podrían ser iraníes que viven en 'en el extranjero y podría verse como una amenaza para el régimen islámico iraní ”, dijo Tomer Bar, director de investigación de seguridad de SafeBreach Labs.

"El oponente podría estar vinculado al régimen islámico iraní, ya que el uso de la vigilancia de Telegram es típico de los actores de amenazas iraníes como Infy, Ferocious Kitten y Rampant Kitten".

Mapa de calor de las víctimas
Mapa de calor de las víctimas (SafeBreach Labs)

El error CVE-2021-40444 RCE que afectó al motor de renderizado MSTHML de IE se explotó como día cero a partir del 18 de agosto, más de dos semanas antes de que Microsoft lanzara un aviso de seguridad con una solución parcial y tres semanas antes de que se lanzara un parche.

Más recientemente, la banda de ransomware Magniber lo ha aprovechado junto con anuncios maliciosos para infectar objetivos con malware y cifrar sus dispositivos.

Microsoft también afirmó que varios actores de amenazas, incluidos los afiliados de ransomware, se han dirigido a este error de Windows MSHTML RCE utilizando documentos de Office entregados maliciosamente a través de ataques de phishing.

Estos ataques abusaron de la falla CVE-2021-40444 "como parte de una campaña de inicio de sesión inicial que distribuyó cargadores Cobalt Strike Beacon personalizados".

Las balizas distribuidas se comunicaron con la infraestructura maliciosa vinculada a varias campañas de delitos informáticos, incluido, entre otros, el ransomware creado por el hombre.

CVE-2021-40444-cadena-de-fijación
Cadena de adjunto CVE-2021-40444 (Microsoft)

Como era de esperar, cada vez más atacantes están utilizando exploits CVE-2021-40444 desde que los actores de amenazas comenzaron a compartir tutoriales y exploits de prueba de concepto en foros de piratería incluso antes de que se solucionara el error.

Esto probablemente permitió que otros actores y grupos de amenazas comenzaran a explotar la falla de seguridad en sus propios ataques.

La información compartida en línea es fácil de seguir y permite a cualquier persona crear fácilmente su propia versión funcional de un exploit CVE-2021-40444, incluido un servidor Python capaz de distribuir documentos maliciosos y archivos CAB a sistemas comprometidos.

Con esta información, BleepingComputer también podría reproducir con éxito el exploit en unos 15 minutos, como se demuestra en este vídeo de demostración.

¿Qué te ha parecido?
Subir