O grupo de hackers norte-coreano ScarCruft aproveitou uma falha de dia zero no Web Explorer para espalhar uma perigosa variedade de malware. Eles conseguiram usar anúncios pop-up infectados em uma operação em grande escala que injetou código prejudicial nos sistemas de usuários desavisados, visando indivíduos na Coreia do Sul e na Europa.
O ataque está ligado a uma falha de segurança, catalogada como CVE-2024-38178, encontrada no código do Web Explorer. Embora a Microsoft tenha retirado oficialmente o navegador, alguns de seus componentes continuam a ser usados por vários aplicativos de terceiros, criando riscos contínuos. ScarCruft, também conhecido como Ricochet Chollima, APT37 ou RedEyes, é conhecido por se concentrar na espionagem contra alvos políticos, especialmente desertores e grupos de direitos humanos. O grupo aproveitou esta vulnerabilidade em um de seus mais recentes ataques de malware.
Pop-ups de anúncios usados para entregar malware
O método de entrega neste ataque foi by way of 'Brinde'notificações, pequenas janelas pop-up que são comumente vistas em programas instalados em desktops. Em vez de confiar nas táticas tradicionais de phishing ou watering gap, os hackers usaram anúncios de brinde, geralmente inofensivos, para inserir códigos maliciosos nos sistemas das vítimas.
Esses anúncios foram exibidos por meio de uma agência de publicidade sul-coreana comprometida, que os exibiu por meio de software program gratuito usado por um grande número de usuários sul-coreanos. Os próprios anúncios continham um iframe oculto que explorava a falha do Web Explorer, levando à execução de JavaScript malicioso. A carga útil do malware foi então descartada sem qualquer interação exigida do usuário, tornando-se um “clique zero”ataque.
Malware do ScarCruft: RokRAT
RokRAT, o malware implantado por meio desse método, tem um longo histórico de uso pelo ScarCruft. Ele foi projetado para roubar informações confidenciais de sistemas infectados. O malware concentra-se particularmente em determinados tipos de arquivos, visando documentos como arquivos .doc, .xls e .txt, e os exfiltra para servidores em nuvem controlados pelos hackers. Ele também possui funções adicionais que incluem registrar as teclas digitadas e capturar capturas de tela em intervalos regulares.
Uma vez no sistema, o RokRAT passa por vários estágios para evitar a detecção, inclusive injetando-se nos processos do sistema. Se detectar software program antivírus como Avast ou Symantec, ele passa a infectar outras partes do sistema operacional para evitar a remoção. O malware está configurado para persistir durante as reinicializações do sistema, incorporando-se ao processo de inicialização do Home windows.
Código do Web Explorer expõe sistemas
Apesar dos esforços da Microsoft para eliminar gradualmente o Web Explorer, o código subjacente do navegador continua a fazer parte de muitos sistemas hoje. Embora a Microsoft tenha lançado um patch em agosto de 2024 para corrigir a vulnerabilidade específica CVE-2024-38178, muitos usuários e fornecedores de software program ainda não atualizaram seus sistemas, deixando-os vulneráveis a esse tipo de ataque.
O problema aqui não é necessariamente que os usuários estejam usando intencionalmente o Web Explorer – é que muitos aplicativos ainda dependem de seus componentes, especialmente do arquivo JScript9.dll. ScarCruft aproveitou essa dependência, reutilizando uma estratégia que havia empregado anteriormente em um ataque anterior (CVE-2022-41128). Ao alterar apenas algumas linhas de código, eles contornaram os patches de segurança anteriores.
A operação destaca a necessidade de um gerenciamento de patches mais rigoroso em toda a indústria de tecnologia. Embora o navegador não seja mais compatível, as vulnerabilidades em sistemas legados fornecem um ponto de entrada fácil para os agentes de ameaças lançarem ataques sofisticados. O uso de software program desatualizado tornou-se agora um dos principais fatores que permitem campanhas de malware em grande escala.
