Un grupo cibernético norcoreano utiliza un ataque de día cero en Windows para propagar el malware RokRAT
En una nueva ola de ciberataques, el grupo de hackers norcoreano ScarCruft ha sido vinculado a la explotación de una vulnerabilidad de día cero en Windows . Esta falla permitió a los atacantes propagar un peligroso malware conocido como RokRAT . A pesar de estar parcheada, la vulnerabilidad, identificada como CVE-2024-38178, expuso los sistemas que utilizaban el navegador Edge de Microsoft en modo Internet Explorer.
Tabla de contenido
La vulnerabilidad: CVE-2024-38178
La vulnerabilidad CVE-2024-38178 es un problema de corrupción de memoria en el motor de scripts del modo Internet Explorer. Con una puntuación CVSS de 7,5, planteaba un grave riesgo de seguridad. Si se explotaba, la falla permitía la ejecución remota de código en las máquinas comprometidas. Para ello, el atacante debía engañar al usuario para que hiciera clic en una URL maliciosa. Una vez realizada esta acción, se ejecutaba el código malicioso, lo que dejaba al sistema vulnerable.
Microsoft abordó la falla en sus actualizaciones del martes de parches de agosto de 2024. Sin embargo, antes del parche, ScarCruft aprovechó con éxito la vulnerabilidad para propagar malware, dirigido específicamente a usuarios de Corea del Sur. El Centro de Inteligencia de Seguridad AhnLab (ASEC) y el Centro Nacional de Seguridad Cibernética (NCSC) de Corea del Sur descubrieron e informaron sobre la falla. Bautizaron la campaña "Operación Código en Toast".
La estrategia de ataque de ScarCruft
ScarCruft, también conocido por otros alias como APT37, RedEyes e InkySquid, es conocido por explotar vulnerabilidades en software obsoleto o sin soporte. Esta vez, su estrategia implicó un programa de anuncios de brindis comúnmente utilizado en Corea del Sur. Estos anuncios de "brindis" hacen referencia a notificaciones emergentes que aparecen en la esquina inferior derecha de la pantalla.
En este caso, los atacantes comprometieron el servidor de una agencia de publicidad nacional. Inyectaron código de explotación en el script que alimentaba los anuncios de las tostadas, que luego descargaban y mostraban contenido con trampas. El contenido activaba la vulnerabilidad, específicamente dirigida al motor JavaScript de Internet Explorer (jscript9.dll).
El papel del malware RokRAT
Una vez explotada la vulnerabilidad, ScarCruft instaló el malware RokRAT en las máquinas infectadas. RokRAT es un malware versátil y peligroso capaz de realizar varias acciones:
Uno de los aspectos destacables de RokRAT es el uso de servicios legítimos en la nube como Dropbox, Google Cloud y Yandex Cloud como servidores de comando y control (C2). Esto permite que el malware se mezcle con el tráfico normal de la red, lo que dificulta su detección en entornos empresariales.
Exploits anteriores de ScarCruft
ScarCruft tiene un historial de explotación de vulnerabilidades, especialmente en el motor de scripts de Internet Explorer. En el pasado, se relacionaron con la explotación de CVE-2020-1380 y CVE-2022-41128. Estas vulnerabilidades, como CVE-2024-38178, permitían la ejecución remota de código y se utilizaban de forma similar para propagar malware.
Defensa y recomendaciones
Los expertos en ciberseguridad advierten que los actores de amenazas norcoreanos se han vuelto más sofisticados en los últimos años. Ahora apuntan a una gama más amplia de vulnerabilidades, no solo en Internet Explorer sino en varios sistemas de software.
Para protegerse contra ataques similares, las organizaciones y las personas deben:
- Actualice periódicamente los sistemas operativos y el software.
- Instale los últimos parches de seguridad.
- Tenga cuidado al hacer clic en las URL, especialmente en los anuncios emergentes.
Al mantener los sistemas actualizados y estar atentos a los enlaces sospechosos, los usuarios pueden mitigar los riesgos que plantean grupos como ScarCruft.