黑客利用Microsoft MSHTML漏洞监视带有恶意软件的目标电脑

一名新的伊朗威胁行为人被发现利用微软Windows MSHTML平台中一个现已解决的关键漏洞，利用一个以前未经记录的基于PowerShell的信息窃取者，以讲波斯语的受害者为目标，该信息窃取者旨在从受感染的机器上获取大量细节。

SafeBreak实验室的研究员托默·巴尔在发表的一份报告中说：“the stealer是一个PowerShell脚本，短而有力的收集功能—；它只需约150行代码，就可以为对手提供大量关键信息，包括屏幕截图、电报文件、文档收集以及有关受害者环境的大量数据。”星期三

近一半的目标来自美国，这家网络安全公司指出，这些攻击可能针对“居住在国外的伊朗人，可能被视为对伊朗伊斯兰政权的威胁”

始于2021年7月的网络钓鱼活动涉及到CVE-2021-4044的开发，这是一个远程代码执行缺陷，可以使用特别精心制作的微软Office文档进行开发。该漏洞是由微软修补在2021年9月，几周后，积极开发的报告出现在野外。

“攻击者可以创建一个恶意ActiveX控件，供托管浏览器呈现引擎的Microsoft Office文档使用。然后，攻击者必须说服用户打开该恶意文档。与使用admi操作的用户相比，其帐户配置为在系统上拥有较少用户权限的用户受到的影响可能更小这家Windows制造商曾指出。

SafeBreak描述的攻击序列始于目标收到一封带有Word文档作为附件的矛式网络钓鱼电子邮件。打开该文件会触发对CVE-2021-40444的攻击，导致执行名为“PowerShortShell”的PowerShell脚本，该脚本能够过滤敏感信息并将其传输到指挥与控制（C2）服务器。

在9月15日，在微软发布漏洞补丁的第二天，涉及到信息窃听器部署的感染被发现，上述C2服务器也被用来收割受害者的Gmail和Instagram凭据，作为2021年7月同一对手进行的两次钓鱼活动的一部分。

这是一系列利用MSTHML渲染引擎漏洞的攻击中的最新一次，微软此前披露了一次有针对性的网络钓鱼活动，该活动将该漏洞作为分发定制Cobalt Strike信标加载程序的初始访问活动的一部分。