O grupo de hackers norte-coreano ScarCruft lançou um ataque em larga escala em maio que explorou uma falha zero-day no Internet Explorer para infectar alvos com o malware RokRAT e exfiltrar dados.
ScarCruft (conhecido também como "APT37" ou "RedEyes") é um ator de ameaça de ciberespionagem patrocinado pelo estado, conhecido por mirar sistemas na Coreia do Sul e na Europa, bem como ativistas dos direitos humanos e desertores norte-coreanos, utilizando phishing, ataques de watering hole e zero-days do Internet Explorer.
Um novo relatório conjunto do Centro Nacional de Segurança Cibernética (NCSC) da Coreia do Sul e da AhnLab (ASEC) descreve uma recente campanha do ScarCruft chamada "Code on Toast", que explorou anúncios pop-up do tipo toast para realizar infecções de malware sem cliques.
A falha utilizada nos ataques zero-day é rastreada como
CVE-2024-38178
e é uma falha de confusão de tipo de alta gravidade no Internet Explorer.
ASEC e NCSC, respondendo à campanha, informaram imediatamente a Microsoft, e a gigante tecnológica lançou uma atualização de segurança para tratar do
CVE-2024-38178
em agosto de 2024.
Curiosamente, os pesquisadores descobriram que o exploit do ScarCruft era muito similar ao que eles usaram no passado para o
CVE-2022-41128
, com a única adição sendo três linhas de código projetadas para contornar as correções anteriores da Microsoft.
Notificações toast são pop-ups exibidos no canto do software, como programas antivírus ou utilitários gratuitos, para mostrar notificações, alertas ou anúncios.
Segundo a AhnLab, o APT37 comprometeu um dos servidores de uma agência de publicidade nacional para empurrar 'anúncios Toast' especialmente criados em um software gratuito não nomeado usado por um grande número de sul-coreanos.
Estes anúncios incluíam um iframe malicioso que, ao ser processado pelo Internet Explorer, acionava um arquivo JavaScript chamado 'ad_toast', para desencadear a execução remota de código via a falha
CVE-2024-38178
no arquivo JScript9.dll do Internet Explorer (motor Chakra).
O malware implantado neste ataque é uma variante do RokRAT, que o ScarCruft vem utilizando em ataques há vários anos.
A principal função do RokRAT é exfiltrar arquivos correspondentes a 20 extensões (incluindo .doc, .mdb, .xls, .ppt, .txt, .amr) para uma instância na nuvem do Yandex a cada 30 minutos.
O malware também executa keylogging, monitora mudanças na área de transferência e captura capturas de tela (a cada 3 minutos).
A infecção é realizada através de um processo de quatro passos onde um número igual de payloads é injetado no processo 'explorer.exe', evitando a detecção por ferramentas de segurança.
Se antivírus da Avast ou Symantec forem detectados no hospedeiro, o malware é injetado em um executável aleatório da pasta C:\Windows\system32 ao invés disso.
A persistência é alcançada adicionando um payload final ('rubyw.exe') ao inicializador do Windows e registrando-a para execução no agendador do sistema a cada quatro minutos.
Apesar da Microsoft anunciar a aposentadoria do Internet Explorer em meados de 2022, muitos dos componentes do navegador permanecem no Windows ou são usados por software de terceiros, permitindo que atores de ameaças descubram novas vulnerabilidades para utilizar em ataques.
Isso pode estar ocorrendo sem que os usuários sequer percebam que estão em softwares desatualizados que podem ser facilmente explorados para ataques sem cliques, preparando o terreno para explorações em massa por atores de ameaça conhecedores.
O que agrava a situação é que, embora a Microsoft tenha corrigido essa particular falha do Internet Explorer em agosto, isso não garante que será adotada imediatamente por ferramentas que utilizam componentes mais antigos.
Portanto, softwares gratuitos que usam componentes desatualizados do Internet Explorer continuam a colocar os usuários em risco.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...