Nel panorama della sicurezza informatica, recenti attacchi hanno messo in luce una grave vulnerabilità zero-day sfruttata dal gruppo hacker nordcoreano ScarCruft, noto anche come APT37 o RedEyes. Questi attacchi si basano su una debolezza di Internet Explorer, identificata come CVE-2024-38178, che ha consentito di distribuire malware sui sistemi vulnerabili, in particolare attraverso le notifiche pubblicitarie conosciute come Toast ads.
L’attacco ha colpito principalmente la Corea del Sud, dove ScarCruft ha sfruttato una vulnerabilità del motore JavaScript di Internet Explorer, JScript9.dll, un componente che, nonostante l’uscita di scena ufficiale di Internet Explorer, continua ad essere utilizzato da molti software. Gli attaccanti hanno compromesso un server pubblicitario locale, inserendo codice maligno nei contenuti pubblicitari che venivano poi visualizzati sui computer degli utenti tramite notifiche pop-up, senza bisogno di interazione. Questo attacco zero-click, noto come Operation Code on Toast, ha utilizzato il malware RokRAT per raccogliere dati sensibili, incluso il monitoraggio della tastiera e la cattura di schermate.
Sfruttamento di Windows da parte del gruppo ScarCruft
L’attacco descritto ha implicato l’utilizzo di una vulnerabilità già nota su Windows, che è stata risolta da Microsoft ad agosto 2024 con una patch. Tuttavia, il gruppo ScarCruft ha continuato a sfruttare questa e altre falle del sistema, concentrandosi su software che utilizzano ancora componenti di Internet Explorer. Le vulnerabilità legate a Internet Explorer e al motore JavaScript di Windows hanno permesso al gruppo di diffondere RokRAT, che utilizza i servizi cloud come Google Cloud, Yandex e Dropbox come canali per inviare dati rubati.
Il malware RokRAT viene utilizzato per eseguire operazioni come il furto di file, la registrazione delle attività del sistema e la comunicazione remota con i server di comando e controllo. Questo attacco ha mostrato ancora una volta quanto sia pericoloso mantenere software obsoleti su dispositivi attivi, e come gruppi statali, come ScarCruft, continuino a perfezionare le loro tecniche di attacco.
