Internet Explorer: bug zero-day usato dai nordcoreani

Internet Explorer: bug zero-day usato dai nordcoreani

I ricercatori di Google hanno scoperto che una vulnerabilità zero-day di Internet Explorer è stata sfruttata per distribuire una backdoor.
I ricercatori di Google hanno scoperto che una vulnerabilità zero-day di Internet Explorer è stata sfruttata per distribuire una backdoor.

Il Threat Analysis Group (TAG) di Google ha pubblicato la descrizione dettagliata di un attacco effettuato dal gruppo APT37 finanziato dal governo nordcoreano. I cybercriminali hanno sfruttato una vulnerabilità zero-day di Internet Explorer per installare malware sui computer delle ignare vittime, principalmente utenti sudcoreani. Fortunatamente Microsoft ha già rilasciato la patch all’inizio di novembre.

Bug nel motore JavaScript di IE usato da Office

Lo scorso 31 ottobre è stato segnalato un nuovo malware attraverso l’upload di un file Microsoft Office su VirusTotal. Il documento “221031 Seoul Yongsan Itaewon accident response situation (06:00).docx” faceva riferimento al tragico incidente avvenuto nel noto quartiere di Seul durante i festeggiamenti di Halloween del 29 ottobre 2022. Una volta aperto, il documento scaricava un template RTF che a sua volta prelevava un contenuto HTML.

Come è noto, Internet Explorer è stato abbandonato da Microsoft, ma le sue tecnologie sono ancora utilizzate da Office per la visualizzazione dei contenuti HTML. La vulnerabilità zero-day, sfruttata dai cybercriminali nordcoreani, era presente nel motore JavaScript di IE. Quando veniva visualizzato un sito web infetto, il documento Office installava il malware sul computer.

Dopo aver ricevuto la segnalazione da Google, Microsoft ha prontamente rilasciato la patch che risolve il problema. Il payload finale non è stato ancora identificato, ma le funzionalità sono quelle di una backdoor, come Rokrat, Bluelight e Dolphin.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Google
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 8 dic 2022
Link copiato negli appunti