Хакеры используют уязвимость в Microsoft MSHTML для слежки за иранцами
26/11/21
Новая иранская киберпреступная группировка эксплуатирует критическую уязвимость ( CVE-2021-40444 ) в платформе Microsoft Windows MSHTML для осуществления атак на говорящих на фарси пользователей. Преступники используют новый PowerShell-скрипт под названием PowerShortShell для кражи информации с зараженных систем.
PowerShortShell предоставляет операторам возможность похищать много важной информации, включая снимки экрана, файлы мессенджера Telegram, документы и обширные данные о среде жертвы.
Почти половина целей данной вредоносной кампании находится в США, при этом атаки, вероятно, нацелены на «иранцев, которые живут за границей и могут рассматриваться как угроза исламскому режиму Ирана».
Фишинговая кампания, начавшаяся в июле 2021 года, включала эксплуатацию уязвимости удаленного выполнения кода с помощью специально созданных документов Microsoft Office. Уязвимость была исправлена Microsoft в сентябре 2021 года через несколько недель после появления сообщений об активной эксплуатации.
Для эксплуатации проблемы злоумышленнику необходимо создать вредоносный элемент управления ActiveX, используемый документом Microsoft Office, на котором размещен механизм визуализации браузера. Затем злоумышленник должен будет убедить пользователя открыть вредоносный документ. Обычные пользователи, чьи учетные записи не имеют повышенных прав на системе, меньше подвержены риску атак, чем пользователи с правами администратора.
Потенциальные жертвы получают фишинговое электронное письмо с документом Microsoft Word в качестве вложения. Открытие файла запускает эксплоит для CVE-2021-40444, что приводит к выполнению PowerShell-скрипта PowerShortShell. Скрипт собирает конфиденциальную информацию и передает ее командному серверу.
Как отметили эксперты, тот же командный сервер использовался для хищения учетных данных пользователей Gmail и Instagram в ходе двух фишинговых кампаний, организованных той же группировкой в июле 2021 года.