El actor de amenazas norcoreano conocido como ScarCruft ha sido vinculado a la explotación de día cero de una falla de seguridad ahora parcheada en Windows para infectar dispositivos con malware conocido como RokRAT.
La vulnerabilidad en cuestión es CVE-2024-38178 (Puntuación CVSS: 7,5), un error de corrupción de memoria en el motor de secuencias de comandos que podría provocar la ejecución remota de código al utilizar el navegador Edge en modo Internet Explorer. Microsoft lo parchó como parte de sus actualizaciones del martes de parches para agosto de 2024.
Sin embargo, una explotación exitosa requiere que un atacante convenza al usuario de que haga clic en una URL especialmente diseñada para iniciar la ejecución de código malicioso.
El Centro de Inteligencia de Seguridad AhnLab (ASEC) y el Centro Nacional de Seguridad Cibernética (NCSC) de la República de Corea, a quienes se les atribuyó el descubrimiento y la notificación de la deficiencia, han asignado el grupo de actividades recibe el nombre Código de operación en Toast.
Las organizaciones están rastreando ScarCruft bajo el nombre de TA-RedAnt, que anteriormente se conocía como RedEyes. También es conocido en la comunidad de ciberseguridad en general con los nombres APT37, InkySquid, Reaper, Ricochet Chollima y Ruby Sleet.
El ataque de día cero se “caracteriza por la explotación de un programa publicitario ‘brindis’ específico que comúnmente se incluye con varios programas gratuitos”, dijo ASEC en un comunicado compartido con The Hacker News. “Los anuncios ‘tostados’, en Corea, se refieren a notificaciones emergentes que aparecen en la parte inferior de la pantalla de la PC, generalmente en la esquina inferior derecha”.
La cadena de ataques documentada por la empresa de ciberseguridad de Corea del Sur muestra que los actores de la amenaza comprometieron el servidor de una agencia de publicidad nacional anónima que suministra contenido a los anuncios publicitarios con el objetivo de inyectar código de explotación en el guión del contenido publicitario.
Se dice que la vulnerabilidad se activó cuando el programa brindis descarga y procesa el contenido trampa desde el servidor.
“El atacante apuntó a un programa de brindis específico que utiliza un sistema no compatible [Internet Explorer] módulo para descargar contenido publicitario, dijeron ASEC y NCSC en un informe conjunto de análisis de amenazas.
“Esta vulnerabilidad hace que el motor JavaScript de IE (jscript9.dll) interprete incorrectamente los tipos de datos, lo que genera un error de confusión de tipos. El atacante aprovechó esta vulnerabilidad para infectar las PC con el vulnerable programa brindis instalado. Una vez infectadas, las PC fueron sometidas a varios actividades maliciosas, incluido el acceso remoto”.
La última versión de RokRAT es capaz de enumerar archivos, finalizar procesos arbitrarios, recibir y ejecutar comandos recibidos de un servidor remoto y recopilar datos de varias aplicaciones como KakaoTalk, WeChat y navegadores como Chrome, Edge, Opera, Naver Wales y Firefox.
RokRAT también se destaca por utilizar servicios legítimos en la nube como Dropbox, Google Cloud, pCloud y Yandex Cloud como servidor de comando y control, lo que le permite integrarse con el tráfico regular en entornos empresariales.
Esta no es la primera vez que ScarCruft utiliza vulnerabilidades en el navegador heredado para generar malware de seguimiento. En los últimos años, se ha atribuido a la explotación de CVE-2020-1380, otra falla de corrupción de memoria en Scripting Engine, y CVE-2022-41128, una vulnerabilidad de ejecución remota de código en Windows Scripting Languages.
“El nivel tecnológico de las organizaciones de hackers norcoreanas se ha vuelto más avanzado y están explotando varias vulnerabilidades además de [Internet Explorer]”, dice el informe. “En consecuencia, los usuarios deben actualizar su sistema operativo y la seguridad del software”.
About the Author
