Un actor de amenazas vinculado a Corea del Norte está explotando de manera activa una vulnerabilidad de día cero existente en el navegador Internet Explorer con el fin de engañar a internautas surcoreanos para que descarguen malware.
El hallazgo ha sido realizado por por los investigadores del grupo de análisis de amenazas de Google (TAG), Benoît Sevens y Clément Lecigne.
Se trataría del último conjunto de ataques perpetrados por el grupo de amenazas persistentes avanzadas ScarCruft, también llamado APT37, InkySquid, Reaper y Ricochet Chollima.
El actor de amenazas se caracteriza por hacer un uso y abuso de las vulnerabilidades encontradas en Explorer, como CVE-2020-1380 y CVE-2021-26411, según se hace eco TheHackerNews.
Además, ScarCruft también utiliza RokRat, un troyano de acceso remoto basado en Windows que viene con una amplia gama de funciones que le permiten capturar capturas de pantalla, registrar pulsaciones de teclas e incluso recopilar información del dispositivo Bluetooth.
"El grupo ha centrado históricamente su objetivo en los usuarios de Corea del Sur, los desertores de Corea del Norte, los legisladores, los periodistas y los activistas de derechos humanos", comenta TAG en un análisis.
Aprovechándose de la desgracia ajena
La cadena de ataque identificada por el equipo de Google TAG implica el uso de un documento malicioso de Microsoft Word que se cargó en VirusTotal el pasado 31 de octubre de 2022. Además abusa de otra vulnerabilidad de día cero de Internet Explorer en el motor de JavaScript JScript9, CVE-2022-41128, que fue parcheada por Microsoft el mes pasado.
El archivo haría referencia al incidente del 29 de octubre que tuvo lugar en el barrio de Itaewon de Seúl, explotando el interés público respecto a la tragedia para recuperar un exploit de la vulnerabilidad al abrirlo.
Según recoge el citado medio, el ataque está habilitado por el hecho de que Office presenta contenido HTML usando Internet Explorer. El exploit entregaría un shellcode que se encargaría de eliminar todos los rastros de su presencia al borrar la caché y el historial de Explorer.