El grupo de piratas informáticos norcoreano ScarCruft lanzó en mayo un ataque a gran escala que aprovechaba un fallo de zero-day de Internet Explorer para infectar objetivos con el malware RokRAT y extraer datos.
ScarCruft (también conocida como "APT37" o "RedEyes") es una amenaza de ciberespionaje patrocinada por el Estado y conocida por atacar sistemas en Corea del Sur y Europa, así como a activistas de derechos humanos y desertores norcoreanos, utilizando phishing, watering hole e Internet Explorer zero-days.
Un nuevo informe conjunto del Centro Nacional de Ciberseguridad de Corea del Sur (NCSC) y AhnLab (ASEC) describe una reciente campaña de ScarCruft denominada "Code on Toast" (Código en tostadas), que aprovechaba los anuncios emergentes de Toast para realizar infecciones de malware sin hacer clic.
El fallo utilizado en los ataques de zero-day se rastrea como CVE-2024-38178 y es un fallo de confusión de tipo de alta gravedad en Internet Explorer.
ASEC y NCSC, en respuesta a la campaña, informaron inmediatamente a Microsoft, y el gigante tecnológico publicó una actualización de seguridad para solucionar CVE-2024-39178 en agosto de 2024.
Curiosamente, los investigadores descubrieron que el exploit de ScarCruft era muy similar al que utilizaron en el pasado para CVE-2022-41128, con el único añadido de tres líneas de código diseñadas para eludir las correcciones anteriores de Microsoft.
De los "anuncios de Toast" al malware
Las notificaciones Toast son ventanas emergentes que aparecen en la esquina de programas como antivirus o utilidades gratuitas para mostrar notificaciones, alertas o anuncios.
Según AhnLab, APT37 comprometió uno de los servidores de una agencia de publicidad nacional para enviar "anuncios Toast" especialmente diseñados en un software gratuito sin nombre utilizado por un gran número de surcoreanos.
Estos anuncios incluían un iframe malicioso que, al ser renderizado por Internet Explorer, provocaba que un archivo JavaScript llamado 'ad_toast' desencadenara la ejecución remota de código a través del fallo CVE-2024-39178 en el archivo JScript9.dll de Internet Explorer (motor Chakra).
El malware utilizado en este ataque es una variante de RokRAT, que ScarCruft lleva utilizando en sus ataques desde hace varios años.
La función principal de RokRAT es filtrar archivos con 20 extensiones (incluyendo .doc, .mdb, .xls, .ppt, .txt, .amr) a una instancia de la nube de Yandex cada 30 minutos.
El malware también realiza keylogging, monitoriza los cambios en el portapapeles y realiza capturas de pantalla (cada 3 minutos).
Cadena de ataques de APT37
Fuente: ASEC
La infección se realiza a través de un proceso de cuatro pasos en el que se inyecta un número igual de cargas útiles en el proceso 'explorer.exe', evadiendo la detección por parte de las herramientas de seguridad.
Si se detecta un antivirus Avast o Symantec en el host, el malware se inyecta en un ejecutable aleatorio de la carpeta C:\Windows\system32.
La persistencia se consigue añadiendo una carga útil final ('rubyw.exe') al inicio de Windows y registrándola para su ejecución en el programador del sistema cada cuatro minutos.
A pesar de que Microsoft anunció la retirada de Internet Explorer a mediados de 2022, muchos de los componentes del navegador permanecen en Windows o son utilizados por software de terceros, lo que permite a los actores de amenazas descubrir nuevas vulnerabilidades para utilizarlas en ataques.
Esto puede estar ocurriendo sin que los usuarios se den cuenta de que están utilizando un software obsoleto que puede explotarse fácilmente para ataques sin necesidad de hacer clic, preparando el terreno para una explotación a gran escala por parte de agentes de amenazas bien informados.
Lo que empeora la situación es que, aunque Microsoft corrigió este fallo concreto de Internet Explorer en agosto, no garantiza que lo adopten inmediatamente las herramientas que utilizan componentes más antiguos. Por lo tanto, el software libre que utiliza componentes de Internet Explorer obsoletos sigue poniendo en peligro a los usuarios.
Fuente: bleepingcomputer