Die veralteten Komponenten des Internet Explorers stellen weiterhin erhebliche Risiken dar, da Cyberkriminelle Schwachstellen in veralteter Software ausnutzen. Kürzlich nutzte die nordkoreanische Hackergruppe ScarCruft eine Zero-Day-Sicherheitslücke im Internet Explorer, um einen gefährlichen Malware-Stamm zu verbreiten, der Nutzer in Südkorea und Europa über infizierte Pop-up-Anzeigen anvisierte.
Der Angriff ist mit einer Sicherheitsanfälligkeit verbunden, die als CVE-2024-38178 katalogisiert ist. Trotz der Einstellung des Browsers durch Microsoft verwenden viele Drittanbieteranwendungen weiterhin seine Komponenten, was anhaltende Sicherheitsherausforderungen schafft. ScarCruft, auch bekannt als APT37, ist berüchtigt für Spionagebemühungen gegen politische Ziele, darunter Deserteure und Menschenrechtsorganisationen.
In dieser Operation verwendeten die Hacker 'Toast'-Benachrichtigungen – kleine Pop-up-Fenster, die normalerweise in Desktop-Anwendungen zu sehen sind – um schädlichen Code zu liefern. Durch die Ausnutzung einer kompromittierten südkoreanischen Werbeagentur zeigten sie Anzeigen, die versteckte Iframes enthielten, um die Schwachstelle des Internet Explorers auszunutzen und schädliches JavaScript ohne Benutzerinteraktion auszuführen, was es zu einem 'Zero-Click'-Angriff machte.
Die Malware, die als RokRAT bekannt ist, wurde entwickelt, um sensible Informationen von infizierten Systemen zu stehlen, wobei der Schwerpunkt auf Dokumenttypen wie .doc, .xls und .txt liegt. Sie exfiltriert diese Daten auf Cloud-Server, die von den Angreifern kontrolliert werden, und enthält auch Funktionen zum Protokollieren von Tasteneingaben und zum Erfassen von Screenshots.
Nach der Bereitstellung verwendet RokRAT mehrere Techniken zur Umgehung der Erkennung, einschließlich der Einspeisung in Systemprozesse. Es kann Antivirensoftware erkennen und seine Infektionsstrategie entsprechend anpassen, um die Persistenz durch Systemneustarts zu gewährleisten.
Trotz eines von Microsoft im August 2024 veröffentlichten Patches zur Behebung von CVE-2024-38178 bleiben viele Benutzer und Softwareanbieter ungeschützt, was sie anfällig macht. Die Abhängigkeit von veralteten Komponenten, insbesondere JScript9.dll, unterstreicht die Notwendigkeit einer besseren Patchverwaltung in der Technologiebranche. Dieser Vorfall verdeutlicht, wie veraltete Software weiterhin ein bedeutender Vektor für großangelegte Malware-Kampagnen bleibt.