- Los ciudadanos surcoreanos estuvieron expuestos a malware sin un clic del Norte
- El malware utilizó anuncios emergentes para instalar las cargas útiles.
- También se instalan registradores de teclas y otro software de monitoreo malicioso.
El hacker ScarCruft, vinculado al estado norcoreano, llevó a cabo recientemente una campaña masiva de ciberespionaje utilizando una vulnerabilidad de día cero en Internet Explorer para difundir RokRAT. malwareadvirtieron los expertos.
El grupo, también conocido como APT37 o RedEyes, es un grupo de piratería patrocinado por el estado de Corea del Norte conocido por sus actividades de ciberespionaje.
Este grupo normalmente se centra en activistas de derechos humanos, desertores y entidades políticas de Corea del Sur en Europa.
Explotación de la vulnerabilidad de día cero de Internet Explorer
A lo largo de los años, ScarCruft se ha ganado la reputación de utilizar técnicas avanzadas como phishing, ataques a pozos de agua y explotar vulnerabilidades de día cero en el software para comprometer sistemas y robar información confidencial.
Su última campaña, denominada “Code on Toast”, fue revelada en un informe conjunto del Centro Nacional de Seguridad Cibernética (NCSC) de Corea del Sur y AhnLab (ASEC). Esta campaña utilizó un método único que incluía anuncios emergentes para generar infecciones de malware sin un clic.
El aspecto innovador de esta campaña radica en cómo ScarCruft utiliza notificaciones de brindis (pequeños anuncios emergentes mostrados por antivirus o programas de utilidad gratuitos) para difundir su malware.
ScarCruft pirateó el servidor de una agencia de publicidad local en Corea del Sur para publicar “anuncios Toast” maliciosos a través de un programa gratuito popular pero anónimo utilizado por muchos surcoreanos.
Estos anuncios maliciosos incluían un iframe especialmente diseñado que activaba un archivo JavaScript llamado “ad_toast”, que ejecutaba un exploit de día cero de Internet Explorer. Utilizando este método sin hacer clic, ScarCruft pudo infectar sistemas silenciosamente sin la intervención del usuario.
La vulnerabilidad de alta gravedad en Internet Explorer utilizada en este ataque se rastrea como CVE-2024-38178 Recibió una calificación de gravedad de 7,5. La falla reside en el archivo JScript9.dll de Internet Explorer, parte de su motor Chakra, y permite la ejecución remota de código si se explota. Aunque Internet Explorer se retirará oficialmente en 2022, muchos de sus componentes permanecen integrados en Windows o en software de terceros, lo que los convierte en objetivos propicios para la explotación.
El uso por parte de ScarCruft de la vulnerabilidad CVE-2024-38178 en esta campaña es particularmente preocupante porque es muy similar a un exploit anterior que utilizaron en 2022 para CVE-2022-41128. La única diferencia en el nuevo ataque es que hay tres líneas adicionales de código diseñadas para evitar microsoftParches de seguridad anteriores.
Una vez que se explota la vulnerabilidad, ScarCruft entrega el malware RokRAT a los sistemas infectados. RokRAT se utiliza principalmente para filtrar datos confidenciales con malware que apunta a archivos con extensiones específicas como .doc, .xls, .ppt, etc., enviándolos a la nube de Yandex cada 30 minutos. Además de la extracción de archivos, RokRAT tiene capacidades de monitoreo, que incluyen registro de teclas, monitoreo del portapapeles y captura de pantalla cada tres minutos.
El proceso de infección consta de cuatro etapas, y cada carga útil se inserta en el proceso “explorer.exe” para evitar la detección. Si se encuentran herramientas antivirus populares como Avast o Symantec en el sistema, el malware se inyectará en un archivo ejecutable aleatorio desde la carpeta C:\Windows\system32. La coherencia se mantiene colocando la carga útil final, “rubyw.exe”, en el inicio de Windows y programándola para que se ejecute cada cuatro minutos.
a través de pitidocomputadora