El actor de amenazas norcoreano conocido como ScarCruft ha sido vinculado a la explotaci\u00f3n de d\u00eda cero de una falla de seguridad ahora parcheada en Windows para infectar dispositivos con malware conocido como RokRAT.<\/p>\n
La vulnerabilidad en cuesti\u00f3n es CVE-2024-38178<\/a> (Puntuaci\u00f3n CVSS: 7,5), un error de corrupci\u00f3n de memoria en el motor de secuencias de comandos que podr\u00eda provocar la ejecuci\u00f3n remota de c\u00f3digo al utilizar el navegador Edge en modo Internet Explorer. Microsoft lo parch\u00f3 como parte de sus actualizaciones del martes de parches para agosto de 2024.<\/p>\n Sin embargo, una explotaci\u00f3n exitosa requiere que un atacante convenza al usuario de que haga clic en una URL especialmente dise\u00f1ada para iniciar la ejecuci\u00f3n de c\u00f3digo malicioso.<\/p>\n El Centro de Inteligencia de Seguridad AhnLab (ASEC) y el Centro Nacional de Seguridad Cibern\u00e9tica (NCSC) de la Rep\u00fablica de Corea, a quienes se les atribuy\u00f3 el descubrimiento y la notificaci\u00f3n de la deficiencia, han asignado<\/a> el grupo de actividades recibe el nombre C\u00f3digo de operaci\u00f3n en Toast.<\/p>\n Las organizaciones est\u00e1n rastreando ScarCruft bajo el nombre de TA-RedAnt, que anteriormente se conoc\u00eda como RedEyes. Tambi\u00e9n es conocido en la comunidad de ciberseguridad en general con los nombres APT37, InkySquid, Reaper, Ricochet Chollima y Ruby Sleet.<\/p>\n El ataque de d\u00eda cero se “caracteriza por la explotaci\u00f3n de un programa publicitario ‘brindis’ espec\u00edfico que com\u00fanmente se incluye con varios programas gratuitos”, dijo ASEC en un comunicado compartido con The Hacker News. “Los anuncios ‘tostados’, en Corea, se refieren a notificaciones emergentes que aparecen en la parte inferior de la pantalla de la PC, generalmente en la esquina inferior derecha”.<\/p>\n La cadena de ataques documentada por la empresa de ciberseguridad de Corea del Sur muestra que los actores de la amenaza comprometieron el servidor de una agencia de publicidad nacional an\u00f3nima que suministra contenido a los anuncios publicitarios con el objetivo de inyectar c\u00f3digo de explotaci\u00f3n en el gui\u00f3n del contenido publicitario.<\/p>\n Se dice que la vulnerabilidad se activ\u00f3 cuando el programa brindis descarga y procesa el contenido trampa desde el servidor.<\/p>\n “El atacante apunt\u00f3 a un programa de brindis espec\u00edfico que utiliza un sistema no compatible [Internet Explorer] m\u00f3dulo para descargar contenido publicitario, dijeron ASEC y NCSC en un informe conjunto de an\u00e1lisis de amenazas.<\/p>\n “Esta vulnerabilidad hace que el motor JavaScript de IE (jscript9.dll) interprete incorrectamente los tipos de datos, lo que genera un error de confusi\u00f3n de tipos. El atacante aprovech\u00f3 esta vulnerabilidad para infectar las PC con el vulnerable programa brindis instalado. Una vez infectadas, las PC fueron sometidas a varios actividades maliciosas, incluido el acceso remoto”.<\/p>\n La \u00faltima versi\u00f3n de RokRAT es capaz de enumerar archivos, finalizar procesos arbitrarios, recibir y ejecutar comandos recibidos de un servidor remoto y recopilar datos de varias aplicaciones como KakaoTalk, WeChat y navegadores como Chrome, Edge, Opera, Naver Wales y Firefox.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/ScarCruft-norcoreano-explota-Windows-Zero-Day-para-difundir-el-malware-RokRAT.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n