La amenaza persistente avanzada apoyada por Corea del Norte conocido como APT37 explotó una vulnerabilidad de día cero en el navegador web Internet Explorer de Microsoft durante el verano, usándola para montar una campaña de cadena de suministro de clic cero en objetivos de Corea del Sur, revelaron investigadores.
Aunque IE llegó al final de su vida útil en 2022 y muchas organizaciones ya no lo utilizan, muchas aplicaciones heredadas sí lo hacen. En este caso, APT37 (también conocido como RedAnt, RedEyes, ScarCruft y Group123) se dirigieron específicamente a un programa publicitario Toast que comúnmente se instala con varios programas gratuitos, según el Centro de inteligencia de seguridad AhnLab (ASEC). Los “brindis” son notificaciones emergentes que aparecen en la parte inferior derecha de la pantalla de una PC.
“Muchos programas publicitarios de Toast utilizan una función llamada WebView para mostrar contenido web y mostrar anuncios”, según los investigadores de AhnLab. “Sin embargo, WebView funciona a través de un navegador. Por lo tanto, si el creador del programa utilizó WebView basado en IE para escribir el código, las vulnerabilidades de IE también podrían explotarse en el programa”.
Una hazaña de tostadas calientes con mantequilla y sin hacer clic
Según un análisis de AhnLab publicado la semana pasada, el grupo de ciberataque patrocinado por el estado comprometió a una agencia de publicidad y luego utilizó el error, rastreado como CVE-2024-38178 (CVSS 7.5), para inyectar código malicioso en el script Toast que utiliza la agencia para descargar contenido publicitario a las computadoras de los usuarios. En lugar de anuncios, el script comenzó a generar malware.
“Esta vulnerabilidad se explota cuando el programa publicitario descarga y muestra el contenido publicitario”, explicaron los investigadores en su informe sobre el ataque, al que llamaron “Code on Toast”. “Como resultado, se produjo un ataque sin clic sin ninguna interacción por parte del usuario”.
El malware distribuido es RokRAT, que APT37 ha utilizado habitualmente en el pasado.
“Después de infectar el sistema, se pueden ejecutar varios comportamientos maliciosos, como comandos remotos”, señalaron los investigadores, y agregaron: “En este ataque, la organización también utiliza Ruby para asegurar la persistencia de actividades maliciosas y realiza un control de órdenes a través de una nube comercial. servidor. “
Dijeron que era probable que la campaña causara daños importantes, pero el ataque se detectó temprano. “Además, también se tomaron medidas de seguridad contra otros programas publicitarios de Toast que se confirmó que tenían potencial de explotación antes de que se lanzara el parche de vulnerabilidad”, según AhnLab.
IE se esconde en las aplicaciones y sigue siendo una amenaza cibernética
Microsoft solucionó el error en su lista de actualizaciones del martes de parches de agosto, pero el uso continuo de IE como componente integrado o módulo asociado en otras aplicaciones sigue siendo un vector de ataque preocupante y un incentivo para que los piratas informáticos sigan adquiriendo malware. Vulnerabilidades de día cero de IE.
“Estos ataques no sólo son difíciles de contrarrestar con la atención del usuario o con un antivirus, sino que también pueden tener un impacto significativo dependiendo del software explotado”, explican los investigadores de AhnLab en el informe. (PDF)Coreano).
Agregaron: “Recientemente, el nivel tecnológico de los grupos de hackers norcoreanos se ha vuelto más avanzado y los ataques que explotan varias vulnerabilidades distintas a IE están aumentando gradualmente. »
Como resultado, los usuarios deben asegurarse de mantener actualizados los sistemas operativos y el software, pero “los fabricantes de software también deben tener cuidado de no utilizar bibliotecas y módulos de desarrollo vulnerables a la seguridad al desarrollar productos de software”, concluyen.
Traducción proporcionada por Google Translate.