Les composants hérités d'Internet Explorer continuent de poser des risques significatifs, car les cybercriminels exploitent les vulnérabilités des logiciels obsolètes. Récemment, le groupe de hackers nord-coréen ScarCruft a tiré parti d'une faille zéro-day dans Internet Explorer pour diffuser une souche de malware puissante, ciblant les utilisateurs en Corée du Sud et en Europe via des publicités pop-up infectées.
L'attaque est liée à une faiblesse de sécurité cataloguée comme CVE-2024-38178. Malgré la retraite du navigateur par Microsoft, de nombreuses applications tierces continuent d'utiliser ses composants, créant des défis de sécurité persistants. ScarCruft, également connu sous le nom d'APT37, est notoire pour ses efforts d'espionnage contre des cibles politiques, y compris des défecteurs et des organisations de défense des droits de l'homme.
Dans cette opération, les hackers ont utilisé des notifications 'Toast' - de petites fenêtres pop-up généralement visibles dans les applications de bureau - pour livrer du code malveillant. En exploitant une agence de publicité sud-coréenne compromise, ils ont affiché des publicités contenant des iframes cachées pour exploiter la faille d'Internet Explorer, exécutant un JavaScript nuisible sans interaction de l'utilisateur, ce qui en fait une attaque 'zero-click'.
Le malware, surnommé RokRAT, est conçu pour voler des informations sensibles des systèmes infectés, en se concentrant sur des types de documents tels que .doc, .xls et .txt. Il exfiltre ces données vers des serveurs cloud contrôlés par les attaquants et comprend également des fonctions pour enregistrer les frappes et capturer des captures d'écran.
Une fois déployé, RokRAT utilise plusieurs techniques d'évasion, y compris l'injection dans des processus système pour éviter la détection. Il peut détecter les logiciels antivirus et modifier sa stratégie d'infection en conséquence, garantissant ainsi sa persistance à travers les redémarrages système.
Malgré un correctif publié par Microsoft en août 2024 pour traiter CVE-2024-38178, de nombreux utilisateurs et fournisseurs de logiciels restent non corrigés, les laissant vulnérables. La dépendance aux composants hérités, en particulier JScript9.dll, souligne la nécessité d'une meilleure gestion des correctifs dans l'industrie technologique. Cet incident met en lumière comment les logiciels obsolètes demeurent un vecteur significatif pour les campagnes de malware à grande échelle.