Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • ScarCruft norcoreano explota Windows Zero-Day para difundir el malware RokRAT
  • Tecnología

ScarCruft norcoreano explota Windows Zero-Day para difundir el malware RokRAT

teknomers 20 de Ekim de 2024 (Last updated: 20 de Ekim de 2024) 4 minutes read
ScarCruft norcoreano explota Windows Zero-Day para difundir el malware RokRAT


16 de octubre de 2024Ravie LakshmananSeguridad de día cero/Windows

El actor de amenazas norcoreano conocido como ScarCruft ha sido vinculado a la explotación de día cero de una falla de seguridad ahora parcheada en Windows para infectar dispositivos con malware conocido como RokRAT.

La vulnerabilidad en cuestión es CVE-2024-38178 (Puntuación CVSS: 7,5), un error de corrupción de memoria en el motor de secuencias de comandos que podría provocar la ejecución remota de código al utilizar el navegador Edge en modo Internet Explorer. Microsoft lo parchó como parte de sus actualizaciones del martes de parches para agosto de 2024.

Sin embargo, una explotación exitosa requiere que un atacante convenza al usuario de que haga clic en una URL especialmente diseñada para iniciar la ejecución de código malicioso.

Ciberseguridad

El Centro de Inteligencia de Seguridad AhnLab (ASEC) y el Centro Nacional de Seguridad Cibernética (NCSC) de la República de Corea, a quienes se les atribuyó el descubrimiento y la notificación de la deficiencia, han asignado el grupo de actividades recibe el nombre Código de operación en Toast.

Las organizaciones están rastreando ScarCruft bajo el nombre de TA-RedAnt, que anteriormente se conocía como RedEyes. También es conocido en la comunidad de ciberseguridad en general con los nombres APT37, InkySquid, Reaper, Ricochet Chollima y Ruby Sleet.

El ataque de día cero se “caracteriza por la explotación de un programa publicitario ‘brindis’ específico que comúnmente se incluye con varios programas gratuitos”, dijo ASEC en un comunicado compartido con The Hacker News. “Los anuncios ‘tostados’, en Corea, se refieren a notificaciones emergentes que aparecen en la parte inferior de la pantalla de la PC, generalmente en la esquina inferior derecha”.

La cadena de ataques documentada por la empresa de ciberseguridad de Corea del Sur muestra que los actores de la amenaza comprometieron el servidor de una agencia de publicidad nacional anónima que suministra contenido a los anuncios publicitarios con el objetivo de inyectar código de explotación en el guión del contenido publicitario.

Malware RokRAT

Se dice que la vulnerabilidad se activó cuando el programa brindis descarga y procesa el contenido trampa desde el servidor.

“El atacante apuntó a un programa de brindis específico que utiliza un sistema no compatible [Internet Explorer] módulo para descargar contenido publicitario, dijeron ASEC y NCSC en un informe conjunto de análisis de amenazas.

“Esta vulnerabilidad hace que el motor JavaScript de IE (jscript9.dll) interprete incorrectamente los tipos de datos, lo que genera un error de confusión de tipos. El atacante aprovechó esta vulnerabilidad para infectar las PC con el vulnerable programa brindis instalado. Una vez infectadas, las PC fueron sometidas a varios actividades maliciosas, incluido el acceso remoto”.

La última versión de RokRAT es capaz de enumerar archivos, finalizar procesos arbitrarios, recibir y ejecutar comandos recibidos de un servidor remoto y recopilar datos de varias aplicaciones como KakaoTalk, WeChat y navegadores como Chrome, Edge, Opera, Naver Wales y Firefox.

Ciberseguridad

RokRAT también se destaca por utilizar servicios legítimos en la nube como Dropbox, Google Cloud, pCloud y Yandex Cloud como servidor de comando y control, lo que le permite integrarse con el tráfico regular en entornos empresariales.

Esta no es la primera vez que ScarCruft utiliza vulnerabilidades en el navegador heredado para generar malware de seguimiento. En los últimos años, se ha atribuido a la explotación de CVE-2020-1380, otra falla de corrupción de memoria en Scripting Engine, y CVE-2022-41128, una vulnerabilidad de ejecución remota de código en Windows Scripting Languages.

“El nivel tecnológico de las organizaciones de hackers norcoreanas se ha vuelto más avanzado y están explotando varias vulnerabilidades además de [Internet Explorer]”, dice el informe. “En consecuencia, los usuarios deben actualizar su sistema operativo y la seguridad del software”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Se advierte a los conductores que cumplen 70 años que tomen medidas para evitar el riesgo de multas de hasta £ 5,000
Next: Nadal pierde duelo de gigantes

Related Stories

Samsung Health: rechazar la IA que elimina tus datos en
  • Tecnología

Samsung Health: rechazar la IA que elimina tus datos en la nube

teknomers 14 de Temmuz de 2026
Mantén tus datos móviles bajo control con estos 5 trucos
  • Tecnología

Mantén tus datos móviles bajo control con estos 5 trucos inteligentes

teknomers 14 de Temmuz de 2026
PC Insights llega: Copilot quiere explicar las lentitudes de Windows
  • Tecnología

PC Insights llega: Copilot quiere explicar las lentitudes de Windows 11 (consumiendo 1 GB de RAM)

teknomers 14 de Temmuz de 2026

You May Have Missed

  • General

Una mirada a algunos de los incendios más mortales en bares, discotecas y salas de conciertos

teknomers 14 de Temmuz de 2026
  • Deporte

Copa Mundial 2026: Se insta a los aficionados de Inglaterra en el Reino Unido a seguir el ejemplo de los seguidores en EE. UU.

teknomers 14 de Temmuz de 2026
  • General

‘Mojtaba Khamenei está al 90% fuera’: Trump hace una gran afirmación mientras el conflicto entre EE. UU. e Irán se descontrola

teknomers 14 de Temmuz de 2026
  • General

México: «La diplomacia no ha dado resultados», la presidenta ataca a Estados Unidos tras 17 muertos relacionados con el ICE

teknomers 14 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.