Cuando navegamos por internet, damos por hecho que los anuncios que aparecen en las páginas web son inofensivos, incluso molestos a veces, pero en su mayoría insignificantes. Sin embargo, lo que pocos saben es que estos anuncios pueden convertirse en vehículos perfectos para ataques devastadores, como fue el caso reciente de Internet Explorer. Un grupo de ciberdelincuentes aprovechó una vulnerabilidad de día cero en este navegador para infiltrar anuncios maliciosos que, sin que los usuarios lo supieran, descargaban malware directamente en sus dispositivos.
En mayo, el grupo de hackers norcoreano ScarCruft lanzó un ataque a gran escala que aprovechó una vulnerabilidad de día cero en Internet Explorer para infectar a sus víctimas con el malware RokRAT y robar datos. ScarCruft, también conocido como APT37 o RedEyes, es un grupo de ciberespionaje patrocinado por el estado, conocido por sus ataques dirigidos principalmente a Corea del Sur, Europa y activistas de derechos humanos, además de desertores norcoreanos. Sus métodos incluyen phishing, ataques a sitios infectados y el uso de vulnerabilidades sin parchear (como días cero en Internet Explorer).
Un reciente informe del Centro Nacional de Seguridad Cibernética de Corea del Sur (NCSC) y AhnLab (ASEC) ha revelado una nueva campaña de ScarCruft llamada "Code on Toast", en la que utilizaron anuncios emergentes (tipo Toast) para propagar malware sin necesidad de que el usuario haga clic en ellos.
La vulnerabilidad explotada, identificada como CVE-2024-38178, es una grave falla de confusión de tipos en Internet Explorer. Tras descubrir esta campaña, el NCSC y ASEC informaron rápidamente a Microsoft, quien lanzó un parche en agosto de 2024 para corregir el problema.
Lo interesante es que los investigadores notaron que este exploit de ScarCruft era muy similar al que ya habían utilizado anteriormente para atacar con la vulnerabilidad CVE-2022-41128, solo que esta vez agregaron tres líneas de código adicionales para saltarse las correcciones previas de Microsoft.
Podría interesarte leer: ¿Qué es el Malvertising y Cómo Identificarlo?
Las notificaciones emergentes, o "Toast", son esas ventanitas que aparecen en la esquina de tu pantalla cuando usas software, como un antivirus o alguna aplicación gratuita, para mostrarte alertas o anuncios. Seguramente las has visto un montón de veces sin prestarles mucha atención.
En este caso, el grupo de hackers APT37 logró comprometer el servidor de una agencia de publicidad en Corea del Sur para insertar anuncios "Toast" especialmente diseñados en un software gratuito que usan muchos surcoreanos.
Estos anuncios no eran lo que parecían. Ocultaban un iframe malicioso que, cuando se cargaba en Internet Explorer, activaba un archivo JavaScript llamado "ad_toast". Ese archivo aprovechaba una vulnerabilidad (CVE-2024-39178) en el motor Chakra de Internet Explorer, lo que permitía a los atacantes ejecutar código malicioso de forma remota.
El malware en cuestión era una variante de RokRAT, una herramienta que ScarCruft ha estado usando durante años. Este malware es bastante peligroso: no solo roba archivos con extensiones específicas (.doc, .xls, .txt, etc.), sino que también registra lo que escribes, monitorea tu portapapeles y toma capturas de pantalla cada 3 minutos. Todo esto es enviado a una nube de Yandex cada 30 minutos, manteniendo a los hackers informados de cada movimiento que haces en tu dispositivo.
Este tipo de ataque muestra cómo algo tan común como una ventana emergente puede ocultar peligros mucho más serios de lo que parece a simple vista.
Cadena de ataque de APT37
Conoce más sobre: Antimalware: ¿Qué es y cómo funciona?
El proceso de infección sigue una secuencia de cuatro pasos, donde el malware inyecta la misma carga útil en el proceso 'explorer.exe', lo que le permite pasar desapercibido para muchas herramientas de seguridad. Si detecta que el sistema tiene instalado el antivirus Avast o Symantec, cambia su estrategia e inyecta el código malicioso en algún ejecutable al azar desde la carpeta C:\Windows\system32.
Para asegurarse de que sigue funcionando después de un reinicio, el malware se hace persistente añadiendo un archivo llamado 'rubyw.exe' al inicio de Windows y programándolo para ejecutarse cada cuatro minutos.
Aunque Microsoft anunció la retirada de Internet Explorer en 2022, muchos de los componentes de este viejo navegador todavía están integrados en Windows o son usados por otros programas. Esto deja la puerta abierta a que hackers descubran nuevas vulnerabilidades y las utilicen en ataques.
Lo preocupante es que muchos usuarios ni siquiera se dan cuenta de que siguen utilizando software que depende de estos componentes obsoletos, lo que los convierte en blanco fácil para ataques sin interacción, o de "cero clic". Y aunque Microsoft lanzó un parche para corregir esta falla en agosto, eso no significa que todas las herramientas que dependen de componentes antiguos lo hayan adoptado de inmediato. Así que, si sigues usando programas que utilizan partes viejas de Internet Explorer, aún podrías estar en riesgo.