Besmette advertenties gebruikten IE-lek voor 'zero-click' malware-infectie

[Captain Kirk]

Aanvallers hebben recentelijk besmette advertenties gebruikt om Windowsgebruikers zonder enige interactie met malware te infecteren. Daarbij werd gebruikgemaakt van een kwetsbaarheid in Internet Explorer (IE). Microsoft kwam afgelopen augustus met updates voor het beveiligingslek (CVE-2024-38178), dat al voor het uitkomen van de patches actief werd misbruikt. Dat melden antivirusbedrijf AhnLab en het Zuid-Koreaanse National Cyber Security Center (NCSC).

Internet Explorer staat uitgeschakeld in Windows, maar is nog wel in het besturingssysteem aanwezig. Applicaties kunnen ook nog altijd van Internet Explorer gebruikmaken. Daarbij hadden de aanvallers het voorzien op een specifiek advertentieprogramma dat bij allerlei gratis software wordt meegeïnstalleerd en allerlei advertenties laat zien. Dit advertentieprogramma maakt gebruik van een op IE-gebaseerde WebView voor het weergeven van advertenties.

Kwetsbaarheden in Internet Explorer zijn via een dergelijke WebView te misbruiken. De aanvallers maakten hier misbruik van door een Zuid-Koreaans advertentiebedrijf te compromitteren en zo besmette advertenties te verspreiden. Deze advertenties werden automatisch via het kwetsbare advertentieprogramma weergegeven, waarbij de malafide code in de advertenties dankzij het IE-lek automatisch werd uitgevoerd. Er was geen enkele interactie van slachtoffers vereist.

Via de besmette advertenties werd de RokRAT-malware geïnstalleerd die allerlei bestanden van het systeem steelt en terugstuurt naar de aanvallers. Ook slaat de malware toetsaanslagen op, monitort het clipboard en maakt screenshots. Volgens de Zuid-Koreaanse autoriteiten en AhnLab is de aanval het werk van een Noord-Koreaanse groep genaamd StarCruft en APT37.

 

bron: https://www.security.nl