Un actor de amenazas iraní recientemente descubierto, está robando credenciales de Google e Instagram pertenecientes a objetivos de habla farsi en todo el mundo, utilizando un nuevo robador basado en PowerShell apodado PowerShortShell por los investigadores de seguridad de SafeBreach Labs.
El ladrón de información también se utiliza para la vigilancia de Telegram y la recopilación de información del sistema de los dispositivos comprometidos que se envían a los servidores controlados por el atacante junto con las credenciales robadas.
Como descubrió SafeBreach Labs, los ataques (denunciados públicamente en septiembre en Twitter por el grupo Shadow Chaser) comenzaron en julio como correos electrónicos de spear-phishing, y se dirigen a los usuarios de Windows con archivos adjuntos maliciosos de Winword que aprovechan un fallo de ejecución remota de código (RCE) de Microsoft MSHTML rastreado como CVE-2021-40444.
La carga útil del robador PowerShortShell se ejecuta mediante una DLL descargada en los sistemas comprometidos. Una vez lanzado, el script PowerShell comienza a recoger datos y capturas de pantalla, exfiltrándolos al servidor de comando y control del atacante.
El fallo CVE-2021-40444 RCE que afecta al motor de renderizado MSTHML de IE ha sido explotado en la naturaleza como un día cero a partir del 18 de agosto, más de dos semanas antes de que Microsoft emitiera un aviso de seguridad con una solución parcial, y tres semanas antes de que se publicara un parche.
Recientemente, la banda de ransomware Magniber lo explotó junto con anuncios maliciosos para infectar a los objetivos con malware y cifrar sus dispositivos.
Con información de Bleeping Computer.