Um Grupo Cibernético Norte-Coreano Explora um Zero-Day no Windows para Espalhar o Malware RokRAT
Em uma nova onda de ataques cibernéticos, o grupo de hackers norte-coreano ScarCruft foi vinculado à exploração de uma vulnerabilidade de dia zero no Windows. Essa falha permitiu que os invasores espalhassem um malware perigoso conhecido como RokRAT . Apesar de ter sido corrigida, a vulnerabilidade, identificada como CVE-2024-38178, expôs sistemas usando o navegador Edge da Microsoft no Modo Internet Explorer.
Índice
A Vulnerabilidade: CVE-2024-38178
A vulnerabilidade CVE-2024-38178 é um problema de corrupção de memória no Scripting Engine do Internet Explorer Mode. Com uma pontuação CVSS de 7,5, ela representava um risco grave à segurança. Se explorada, a falha permitia a execução remota de código em máquinas comprometidas. Isso exigia que o invasor enganasse o usuário para clicar em uma URL maliciosa. Uma vez que essa ação fosse realizada, o código malicioso seria executado, deixando o sistema vulnerável.
A Microsoft corrigiu a falha em suas atualizações do Patch Tuesday de agosto de 2024. No entanto, antes do patch, o ScarCruft aproveitou com sucesso a vulnerabilidade para espalhar malware, visando especificamente usuários na Coreia do Sul. O AhnLab Security Intelligence Center (ASEC) e o National Cyber Security Center (NCSC) da Coreia do Sul descobriram e relataram a falha. Eles apelidaram a campanha de "Operation Code on Toast".
A Estratégia de Ataque do ScarCruft
ScarCruft, também conhecido por outros pseudônimos como APT37, RedEyes e InkySquid, é famoso por explorar vulnerabilidades em softwares desatualizados ou sem suporte. Desta vez, sua estratégia envolveu um programa de anúncios toast comumente usado na Coreia do Sul. Esses anúncios "toast" referem-se a notificações pop-up que aparecem no canto inferior direito da tela.
Neste caso, os invasores comprometeram o servidor de uma agência de publicidade doméstica. Eles injetaram código de exploração no script que alimentava os anúncios toast, que então baixavam e renderizavam conteúdo com armadilhas. O conteúdo acionava a vulnerabilidade, mirando especificamente o JavaScript Engine do Internet Explorer (jscript9.dll).
O Papel do Malware RokRAT
Uma vez que a vulnerabilidade foi explorada, o ScarCruft instalou o malware RokRAT nas máquinas infectadas. O RokRAT é um malware versátil e perigoso, capaz de várias ações:
- Coleta de dados de aplicativos como KakaoTalk, WeChat e navegadores como Chrome, Edge, Opera e Firefox.
- Encerrando processos.
- Executando comandos de um servidor remoto.
- Interagindo com arquivos.
Um dos aspectos notáveis do RokRAT é o uso de serviços de nuvem legítimos como Dropbox, Google Cloud e Yandex Cloud como servidores de comando e controle (C2). Isso permite que o malware se misture ao tráfego normal da rede, dificultando sua detecção em ambientes corporativos.
Explorações Anteriores do ScarCruft
O ScarCruft tem um histórico de exploração de vulnerabilidades, especialmente no Scripting Engine do Internet Explorer. No passado, elas foram vinculadas à exploração de CVE-2020-1380 e CVE-2022-41128. Essas vulnerabilidades, como CVE-2024-38178, permitiam a execução remota de código e eram usadas de forma semelhante para espalhar malware.
Defesa e Recomendações
Especialistas em segurança cibernética alertam que os agentes de ameaças norte-coreanos se tornaram mais sofisticados nos últimos anos. Eles agora estão mirando uma gama maior de vulnerabilidades, não apenas no Internet Explorer, mas em vários sistemas de software.
Para se proteger contra ataques semelhantes, organizações e indivíduos devem:
- Atualize regularmente os sistemas operacionais e softwares.
- Instale os patches de segurança mais recentes.
- Tenha cuidado ao clicar em URLs, especialmente em anúncios pop-up.
Ao manter os sistemas atualizados e estar cientes de links suspeitos, os usuários podem mitigar os riscos representados por grupos como o ScarCruft.