Investigadores de seguridad cibernética del Threat Analysis Group (TAG) de Google han descubierto una vulnerabilidad de día cero en el navegador Internet Explorer (IE) (se abre en una nueva pestaña) explotada por un conocido hacker norcoreano.
En una publicación de blog (se abre en una nueva pestaña) que detalla sus hallazgos, el grupo dijo que vio al grupo APT37 (también conocido como Erebus) apuntando a personas en Corea del Sur con un archivo de Microsoft Word armado.
El archivo se titula "221031 Seúl Yongsan Itaewon accidente respuesta situación (06:00).docx", que hace referencia a la reciente tragedia que tuvo lugar en Itaewon, Seúl durante la celebración de Halloween de este año, donde al menos 158 personas perdieron la vida. , con otros 200 heridos. Aparentemente, los atacantes querían aprovechar la atención pública y de los medios sobre el incidente.
Abusando de viejos defectos
Después de analizar el documento que se entregó, TAG descubrió que descargaba una plantilla de archivo de texto enriquecido (RTF) remoto en el punto final de destino, que luego recupera el contenido HTML remoto. Es posible que Microsoft haya retirado Internet Explorer y lo haya reemplazado con Edge, pero Office todavía representa contenido HTML usando IE, lo cual es un hecho conocido del que los actores de amenazas han estado abusando desde al menos 2017, un TAG declarado.
Ahora que Office presenta contenido HTML con IE, los atacantes pueden abusar del día cero que descubrieron en el motor JScript de IE.
El equipo encontró la falla en "jscript9.dll", el motor de JavaScript de Internet Explorer, que permitía a los piratas informáticos ejecutar código arbitrario mientras renderizaban un sitio web bajo su control.
Microsoft fue notificado el 31 de octubre de 2022, con la falla etiquetada como CVE-2022-41128 tres días después, y se lanzó un parche el 8 de noviembre.
Si bien el proceso hasta ahora solo compromete el dispositivo, TAG no ha descubierto con qué fin. No encontró la carga útil APT37 final para esta campaña, dijo, pero agregó que en el pasado se había observado que el grupo entregaba malware como Rokrat, Bluelight o Dolphin. .
Vía: The Verge (se abre en una nueva pestaña)