El enemigo invisible en recursos humanos: MerkSpy cambia las reglas del juego en la seguridad corporativa
Los investigadores han descubierto un esquema de ataque global dirigido a especialistas en reclutamiento.
Hackers desconocidos están explotando una vulnerabilidad en Microsoft MSHTML para propagar el software espía MerkSpy, dirigido a usuarios en Canadá, India, Polonia y Estados Unidos. Aunque la vulnerabilidad fue corregida hace tiempo, los atacantes continúan explotándola activamente, atacando sistemas no actualizados.
Kara Lin, investigadora de Fortinet, reveló que MerkSpy monitorea secretamente las acciones de los usuarios, captura información confidencial y mantiene una presencia permanente en los sistemas infectados.
El ataque comienza con la apertura de un documento de Microsoft Word que contiene una descripción de un puesto de programador. Al abrir el archivo, se activa la explotación de la vulnerabilidad CVE-2021-40444, lo que ocasiona la ejecución remota de código sin interacción del usuario.
Este proceso descarga un archivo HTML («olerender.html») desde un servidor remoto, que ejecuta un shellcode incrustado después de verificar la versión del sistema operativo. «Olerender.html» utiliza la función «VirtualProtect» para modificar los permisos de memoria, permitiendo escribir el shellcode decodificado en la memoria. Luego, «CreateThread» inicia el shellcode inyectado, preparando la carga y ejecución del siguiente código malicioso desde el servidor de los atacantes.
El shellcode descarga un archivo llamado «GoogleUpdate», que en realidad contiene la carga útil de un inyector que elude el software antivirus y carga MerkSpy en la memoria del sistema. El software espía mantiene su presencia en el dispositivo mediante modificaciones en el registro de Windows, asegurando un inicio automático al arrancar el sistema.
MerkSpy es capaz de capturar capturas de pantalla, registrar pulsaciones de teclas, recopilar datos de inicio de sesión almacenados en Google Chrome y datos de la extensión MetaMask para gestionar billeteras de criptomonedas. Todos los datos recopilados se envían al servidor de los atacantes.
El incidente analizado por Fortinet subraya cuán sofisticadas se han vuelto las ciberamenazas modernas. Demuestra claramente que incluso los procesos laborales rutinarios, como la revisión de currículums de candidatos, pueden convertirse en vectores de ataque para los malhechores. Este caso sirve como un recordatorio de la necesidad de un enfoque integral de ciberseguridad, que incluya no solo medidas técnicas de protección, sino también la concientización de los empleados sobre los riesgos potenciales.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!