Los componentes heredados de Internet Explorer siguen representando riesgos significativos, ya que los ciberdelincuentes explotan vulnerabilidades en software obsoleto. Recientemente, el grupo de hackers norcoreano ScarCruft aprovechó una falla de día cero en Internet Explorer para diseminar una potente cepa de malware, dirigiéndose a usuarios en Corea del Sur y Europa a través de anuncios emergentes infectados.
El ataque está vinculado a una debilidad de seguridad catalogada como CVE-2024-38178. A pesar de la retirada del navegador por parte de Microsoft, muchas aplicaciones de terceros siguen utilizando sus componentes, creando desafíos de seguridad persistentes. ScarCruft, también conocido como APT37, es notorio por sus esfuerzos de espionaje contra objetivos políticos, incluidos desertores y organizaciones de derechos humanos.
En esta operación, los hackers emplearon notificaciones 'Toast', pequeñas ventanas emergentes que normalmente se ven en aplicaciones de escritorio, para entregar código malicioso. Al explotar una agencia de publicidad surcoreana comprometida, mostraron anuncios que contenían iframes ocultos para aprovechar la falla de Internet Explorer, ejecutando JavaScript dañino sin interacción del usuario, lo que la convierte en un ataque 'zero-click'.
El malware, denominado RokRAT, está diseñado para robar información sensible de sistemas infectados, centrándose en tipos de documentos como .doc, .xls y .txt. Exfiltra estos datos a servidores en la nube controlados por los atacantes y también incluye funciones para registrar pulsaciones de teclas y capturar pantallas.
Una vez en el sistema, RokRAT utiliza múltiples técnicas de evasión, incluida la inyección en procesos del sistema para evitar la detección. Puede detectar software antivirus y alterar su estrategia de infección en consecuencia, asegurando la persistencia a través de reinicios del sistema.
A pesar de un parche lanzado por Microsoft en agosto de 2024 para abordar CVE-2024-38178, muchos usuarios y proveedores de software siguen sin actualizarse, dejándolos vulnerables. La dependencia de componentes heredados, en particular JScript9.dll, subraya la necesidad de una mejor gestión de parches en la industria tecnológica. Este incidente destaca cómo el software obsoleto sigue siendo un vector significativo para campañas de malware a gran escala.