Piratas informáticos norcoreanos apuntan a Corea del Sur aprovechando vulnerabilidades de Internet Explorer para instalar malware RokRAT.
Los anuncios emergentes de tipo "toast" se utilizan para propagar infecciones de malware sin que el usuario tenga que hacer clic.
Recientemente, se ha alertado sobre una campaña de ciberespionaje a gran escala llevada a cabo por el grupo de hackers de Corea del Norte conocido como ScarCruft, también identificado como APT37 o RedEyes. Este grupo está vinculado al Estado norcoreano y se ha especializado en actividades de espionaje cibernético, apuntando en particular a activistas de derechos humanos, desertores y organizaciones políticas en Europa.
La campaña, denominada "Code on Toast", empleó una vulnerabilidad zero-day en Internet Explorer para desplegar el malware RokRAT. Esta vulnerabilidad se refiere a un fallo crítico en el archivo JScript9.dll de Internet Explorer, que permite la ejecución remota de código si se explota. La gravedad del fallo, conocido como CVE-2024-38178, está clasificada con un puntaje de 7.5. A pesar de que Internet Explorer fue retirado oficialmente en 2022, muchos de sus componentes siguen presentes en Windows y otros programas de terceros, lo que los convierte en objetivos vulnerables.
ScarCruft ha sido reconocido por sus métodos sofisticados, incluyendo ataques de phishing y la explotación de fallos de seguridad en software. En esta última campaña, el grupo utilizó anuncios emergentes, conocidos como "Toast ads", que se activaron mediante un iframe malicioso incorporado dentro de un anuncio. Estas notificaciones, comunes en programas antivirus o utilidades gratuitas, permitieron que el malware se instalara sin necesidad de interacción del usuario, un método de ataque considerado zero-click.
Para llevar a cabo la infección, ScarCruft comprometió el servidor de una agencia de publicidad en Corea del Sur, desde donde distribuyó estos anuncios maliciosos. Una vez que la vulnerabilidad fue aprovechada, el malware RokRAT se envió a los sistemas afectados. Este malware tiene como función principal exfiltrar datos sensibles, apuntando a archivos con extensiones específicas como .doc, .xls y .ppt, que son enviados a un espacio de almacenamiento en la nube de Yandex cada 30 minutos.
RokRAT también incluye capacidades de vigilancia, como keylogging, monitoreo del portapapeles y captura de pantalla cada tres minutos. El proceso de infección se desarrolla en cuatro etapas, y cada carga útil se inyecta en el proceso ‘explorer.exe’ para evadir su detección. En sistemas con antivirus populares como Avast o Symantec, el malware opta por inyectarse en un ejecutable aleatorio de la carpeta C:\Windows\system32. La persistencia se logra al colocar una carga útil final, ‘rubyw.exe’, en el inicio de Windows, programándola para ejecutarse cada cuatro minutos.
