Il Threat Analysis Group (TAG) di Google ha pubblicato la descrizione dettagliata di un attacco effettuato dal gruppo APT37 finanziato dal governo nordcoreano. I cybercriminali hanno sfruttato una vulnerabilità zero-day di Internet Explorer per installare malware sui computer delle ignare vittime, principalmente utenti sudcoreani. Fortunatamente Microsoft ha già rilasciato la patch all’inizio di novembre.
Bug nel motore JavaScript di IE usato da Office
Lo scorso 31 ottobre è stato segnalato un nuovo malware attraverso l’upload di un file Microsoft Office su VirusTotal. Il documento “221031 Seoul Yongsan Itaewon accident response situation (06:00).docx” faceva riferimento al tragico incidente avvenuto nel noto quartiere di Seul durante i festeggiamenti di Halloween del 29 ottobre 2022. Una volta aperto, il documento scaricava un template RTF che a sua volta prelevava un contenuto HTML.
Come è noto, Internet Explorer è stato abbandonato da Microsoft, ma le sue tecnologie sono ancora utilizzate da Office per la visualizzazione dei contenuti HTML. La vulnerabilità zero-day, sfruttata dai cybercriminali nordcoreani, era presente nel motore JavaScript di IE. Quando veniva visualizzato un sito web infetto, il documento Office installava il malware sul computer.
Dopo aver ricevuto la segnalazione da Google, Microsoft ha prontamente rilasciato la patch che risolve il problema. Il payload finale non è stato ancora identificato, ma le funzionalità sono quelle di una backdoor, come Rokrat, Bluelight e Dolphin.
Ti potrebbe interessare
8 dic 2022