- Cidadãos sul-coreanos foram atingidos por um malware de clique zero vindo do Norte
- O malware usou anúncios pop-up para instalar cargas úteis
- Keyloggers e outros softwares de vigilância maliciosos também foram instalados
O hacker norte-coreano ScarCruft conduziu recentemente uma campanha de ciberespionagem em grande escala usando uma falha de dia zero do Internet Explorer para implantar o malware RokRAT, alertaram especialistas.
O grupo, também conhecido como APT37 ou RedEyes, é um grupo de hackers patrocinado pelo Estado norte-coreano conhecido por atividades de espionagem cibernética.
Este grupo normalmente se concentra em ativistas de direitos humanos, desertores e entidades políticas sul-coreanas na Europa.
Falha Zero-Day do Internet Explorer explorada
Ao longo dos anos, ScarCruft desenvolveu uma reputação por usar técnicas avançadas como phishing, ataques watering hole e explorar vulnerabilidades de dia zero em software para se infiltrar em sistemas e roubar informações confidenciais.
Sua última campanha, apelidada de “Code on Toast”, foi revelada em um relatório conjunto do Centro Nacional de Segurança Cibernética da Coreia do Sul (NCSC) e do AhnLab (ASEC). Esta campanha usou um método exclusivo envolvendo anúncios pop-up para fornecer infecções por malware sem clique.
O aspecto inovador desta campanha reside na forma como o ScarCruft usou notificações do sistema – pequenos anúncios pop-up exibidos por software antivírus ou programas utilitários gratuitos – para espalhar seu malware.
ScarCruft comprometeu o servidor de uma agência de publicidade doméstica na Coreia do Sul para enviar “anúncios Toast” maliciosos através de um software gratuito popular, mas sem nome, usado por muitos sul-coreanos.
Esses anúncios maliciosos incluíam um iframe especialmente criado que acionava um arquivo JavaScript chamado ‘ad_toast’, que executava a exploração de dia zero do Internet Explorer. Ao usar esse método de clique zero, o ScarCruft foi capaz de infectar sistemas silenciosamente, sem interação do usuário.
A vulnerabilidade de alta gravidade no Internet Explorer usada neste ataque é rastreada como CVE-2024-38178 e recebeu uma pontuação de gravidade de 7,5. A falha existe no arquivo JScript9.dll do Internet Explorer, parte de seu mecanismo Chakra, e permite a execução remota de código se explorada. Apesar da aposentadoria oficial do Internet Explorer em 2022, muitos de seus componentes permanecem incorporados ao Windows ou software de terceiros, tornando-os alvos maduros para exploração.
O uso da vulnerabilidade CVE-2024-38178 por ScarCruft nesta campanha é particularmente alarmante porque se assemelha muito a uma exploração anterior que eles usaram em 2022 para CVE-2022-41128. A única diferença no novo ataque são três linhas adicionais de código projetadas para contornar os patches de segurança anteriores da Microsoft.
Depois que a vulnerabilidade é explorada, o ScarCruft entrega o malware RokRAT aos sistemas infectados. RokRAT é usado principalmente para exfiltrar dados confidenciais com malware direcionado a arquivos com extensões específicas como .doc, .xls, .ppt e outros, enviando-os para uma nuvem Yandex a cada 30 minutos. Além da exfiltração de arquivos, o RokRAT possui recursos de vigilância, incluindo keylogging, monitoramento da área de transferência e captura de tela a cada três minutos.
O processo de infecção consiste em quatro estágios, com cada carga injetada no processo ‘explorer.exe’ para evitar a detecção. Se ferramentas antivírus populares como Avast ou Symantec forem encontradas no sistema, o malware será injetado em um executável aleatório da pasta C:\Windows\system32. A persistência é mantida colocando uma carga final, ‘rubyw.exe’, na inicialização do Windows e agendando-a para ser executada a cada quatro minutos.
Através BipandoComputador