Um alerta da Malwarebytes indica que a vulnerabilidade MSHTML listada em CVE-2021-40444 está sendo usada para ataque a entidades russas. A equipe do Malwarebytes Intelligence interceptou anexos de e-mail que visam especificamente organizações russas, segundo boletim publicado ontem.
O primeiro modelo localizado foi projetado para se parecer com uma comunicação interna do JSC GREC Makeyev. O Joint Stock Company State Rocket Center, cujo nome homenageia o acadêmico VP Makeyev, é uma holding estratégica do complexo industrial e de defesa do país, tanto para a indústria de foguetes quanto para a indústria espacial. É também o principal desenvolvedor de sistemas de mísseis estratégicos de combustíveis líquido e sólido, os mísseis balísticos, sendo um dos maiores centros de pesquisa e desenvolvimento da Rússia para o a tecnologia de foguetes e tecnologia espacial.
Veja isso
Atlassian sob ataque no Brasil, China EUA, Rússia…
G7 quer ação enérgica da Rússia contra gangues de ransomware
Um dos emails localizados foi forjado em nome do RH, dizendo que está sendo feita uma verificação dos dados pessoais fornecidos por funcionários. O e-mail pede aos funcionários que preencham o formulário e enviem ao RH ou respondam ao e-mail. Quando o destinatário quiser preencher o formulário, terá de habilitar a edição. E essa ação é suficiente para desencadear o exploit.
O ataque depende do MSHTML carregar um controle ActiveX especialmente criado quando a vítima abre um documento malicioso do Office. O controle ActiveX carregado pode então executar um código arbitrário para infectar o sistema com mais malware.
O segundo anexo encontrado é num email que simula ter origem no Ministério do Interior em Moscou. Este tipo de anexo pode ser usado para atingir vários alvos interessantes. O título dos documentos se traduz em “Notificação de atividade ilegal”. Solicita ao destinatário que preencha o formulário e devolva-o ao Ministério da Administração Interna ou responda a este e-mail. Também exorta a vítima pretendida a fazê-lo no prazo de 7 dias.
A vulnerabilidade CVE-2021-40444 é bem “old school” mas só foi descoberta recentemente. Não demorou muito para que os agentes de ameaças compartilhassem PoCs, tutoriais e exploits em fóruns de hackers, para que todos pudessem seguir as instruções passo a passo para lançar seus próprios ataques.
Com agências de notícias internacionais