Internet Explorer è stato abbandonato da Microsoft oltre due anni fa, ma è ancora un mezzo per distribuire malware. I cybercriminali nordcoreani del gruppo ScarCruft hanno sfruttato una vulnerabilità del browser per installare RokRAT e rubare i dati degli utenti. La patch è disponibile dal mese di agosto, anche non elimina tutti i rischi.

Componenti di IE in Windows

La nuova campagna del gruppo è denominata “Code on Toast” perché sfrutta i pop-up toast per infettare i dispositivi senza clic dell’utente. Questo tipo di pop-up, mostrati nell’angolo in basso a destra dello schermo, viene usato per le notifiche relative ad avvisi o pubblicità dei software.

I cybercriminali nordcoreani hanno compromesso un server usato da un’agenzia di advertising per inviare pop-up pubblicitari. Le inserzioni contengono un iframe che, quando caricato dal WebView di Internet Explorer, causa l’esecuzione di un file JavaScript con il motore Chakra di IE ( jscript9.dll ) vulnerabile.

I componenti del vecchio browser sono ancora presenti in Windows, in quanto usati da alcune applicazioni e dalla modalità IE di Microsoft Edge. La visualizzazione del banner pubblicitario innesca il download e l’installazione di RokRAT.

Il malware registra i tasti premuti (keylogging), accede alla clipboard (appunti), cattura screenshot e ruba file con varie estensioni. Come detto, Microsoft ha rilasciato la patch per la vulnerabilità CVE-2024-38178, ma alcune applicazioni gratuite usano ancora vecchi componenti del browser.