Хакеры из Северной Кореи обнаружили метод распространения вредоносного программного обеспечения через устаревший браузер Internet Explorer. Несмотря на его официальное отключение, компоненты этого браузера продолжают функционировать благодаря специальному режиму в Microsoft Edge. Атака осуществляется без какого-либо участия пользователя.
Источник изображения: Rubaitul Azad/Unsplash
Согласно совместному отчету Национального центра кибербезопасности Южной Кореи (NCSC) и местного поставщика IT-безопасности AhnLab, злоумышленники использовали ранее неизвестную уязвимость нулевого дня в Internet Explorer для распространения вредоносного ПО среди пользователей в Южной Корее. Несмотря на отключение Internet Explorer на Windows ПК, элементы браузера продолжают работать через сторонние приложения, установленные на компьютере, а также в режиме IE в браузере Edge, что открывает возможности для атаки, объясняет PCMag.
Инцидент произошел в мае этого года. Группа хакеров, известная как APT 37 или ScarCruft, использовала уязвимость Internet Explorer для организации масштабных злонамеренных действий. Как сообщается в отчете NCSC и компании AhnLab, хакеры скомпрометировали сервер южнокорейского агентства онлайн-рекламы, что позволило им внедрить вредоносный код через всплывающие рекламные окна. «Эта уязвимость эксплуатируется, когда рекламная программа загружает и отображает рекламное содержимое, — указывается в отчете AhnLab. — В результате осуществляется атака нулевого клика, не требующая взаимодействия пользователя».
Источник изображения: AhnLab
Исследователи также отметили, что многие пользователи в Южной Корее устанавливают бесплатное программное обеспечение, такое как антивирусы и другие утилиты, которые отображают рекламные окна в правом нижнем углу экрана. Однако проблема заключается в том, что такие программы часто используют модули, связанные с Internet Explorer, что дало возможность хакерам распространить вредоносное ПО RokRAT, предназначенное для выполнения удалённых команд и кражи данных с компьютеров жертв.
В августе Microsoft выпустила патч для устранения уязвимости нулевого дня с кодом CVE-2024-38178. Тем не менее, как отмечает издание BleepingComputer, существует риск, что хакеры смогут найти и другие способы эксплуатации компонентов Internet Explorer, поскольку они продолжают использоваться в Windows и сторонних приложениях.