Dans le monde de la cybersécurité, la vigilance est de mise face à l’évolution constante des menaces informatiques. Une récente opération de cyberespionnage impliquant l’exploitation de la faille MSHTML de Microsoft a été observée, ciblant principalement les utilisateurs basés au Canada, en Inde, en Pologne et aux États-Unis. Cette tactique a permis de déployer MerkSpy, un outil de surveillance sophistiqué.
Exploitation d’une faille sécurité pour une incursion elfique
Découverte et impacts de la faille MSHTML
Identifiée sous le nom CVE-2021-40444, cette faille critique dans MSHTML pouvait permettre l’exécution de code à distance sans aucune interaction de l’utilisateur. Microsoft a corrigé ce défaut en septembre 2021 lors de ses mises à jour de Patch Tuesday. Une particularité de cette vulnérabilité est son activation via un document Word innocent, prétendant décrire un poste d’ingénieur logiciel.
Le mécanisme d’attaque sophistiqué
La simple ouverture du fichier déclenche une chaîne d’attaque, commençant par le téléchargement d’un fichier HTML du nom de « olerender.html », qui exécute ensuite un code malveillant après vérification de la version du système d’exploitation. Ce fichier utilise la fonction ‘VirtualProtect’ pour modifier les permissions de mémoire, permettant au shellcode de s’écrire en toute sécurité, puis ‘CreateThread’ lance l’exécution de ce code, facilitant le téléchargement de charges supplémentaires depuis le serveur de l’attaquant.
Cyberespionnage via MerkSpy : Fonctionnalités et préventions
Capacités et tactiques de MerkSpy
MerkSpy, déguisé sous un faux fichier intitulé « GoogleUpdate », s’échappe des détections des antivirus et s’installe en tant que payload injecteur. L’outil permet une surveillance persistante sur les systèmes affectés en modifiant le registre Windows pour un démarrage automatique, accompagné de fonctions d’enregistrement des frappes, de captures d’écran, et d’exfiltration de données sensibles via des serveurs externes.
Risques associés et mesures de sécurité
Les données interceptées comprennent des captures d’écran, les saisies de clavier et des informations de connexion sauvegardées dans Google Chrome, incluant des extensions comme MetaMask. Ces informations sont transmises vers des serveurs contrôlés par les menaces, soulignant ainsi l’importance d’adopter des solutions de sécurité robustes et de maintenir des systèmes régulièrement mis à jour pour contrer de telles intrusions.
Face à ces menaces en constante évolution, CyberCare propose des solutions de cybersécurité personnalisées adaptées aux besoins spécifiques de chaque organisation pour protéger efficacement leurs infrastructures informatiques et données confidentielles contre les cyberattaques.
