Hackers norte-coreanos encontraram uma maneira de distribuir malware por meio do antigo navegador Internet Explorer. Embora este navegador tenha sido oficialmente desativado, seus componentes continuam existindo graças a um modo especial no Microsoft Edge. O ataque ocorre sem qualquer participação do usuário.
Fonte da imagem: Rubaitul Azad/Unsplash
De acordo com um relatório conjunto do Centro Nacional de Segurança Cibernética (NCSC) da Coreia do Sul e do provedor local de segurança de TI AhnLab, os invasores usaram uma vulnerabilidade de dia zero anteriormente desconhecida no Internet Explorer para distribuir malware a usuários na Coreia do Sul. Apesar de desabilitar o Internet Explorer em PCs com Windows, elementos do navegador funcionam por meio de aplicativos de terceiros instalados no computador, e também há um modo IE no navegador Edge, abrindo assim a porta para ataques, explica Garon.
O incidente ocorreu em maio deste ano. Um grupo de hackers conhecido como APT 37 ou ScarCruft explorou uma vulnerabilidade do Internet Explorer para realizar atividades maliciosas em grande escala. De acordo com um relatório do NCSC e AhnLab, hackers comprometeram o servidor de uma agência de publicidade online sul-coreana, o que lhes permitiu baixar códigos maliciosos por meio de janelas pop-up de publicidade. “Essa vulnerabilidade é explorada quando o adware baixa e exibe conteúdo publicitário”, diz o relatório do AhnLab. “O resultado é um ataque de clique zero que não requer interação do usuário.”
Fonte da imagem: AhnLab
Os pesquisadores também observaram que muitos usuários sul-coreanos instalam softwares gratuitos, como antivírus e outros utilitários, que exibem uma janela de publicidade no canto inferior direito da tela. No entanto, o problema é que tais programas costumam usar módulos associados ao Internet Explorer, graças aos quais os hackers conseguiram distribuir o malware RokRAT, projetado para executar comandos remotos e roubar dados dos computadores das vítimas.
Em agosto, a Microsoft lançou um patch para corrigir uma vulnerabilidade de dia zero codificada CVE-2024-38178. No entanto, como observa o BleepingComputer, existe o risco de que os hackers encontrem outras maneiras de explorar os componentes do Internet Explorer à medida que continuam a ser usados no Windows e em aplicativos de terceiros.