Северокорейская хакерская группа ScarCruft провела масштабную кампанию, обратив внимание на уязвимость нулевого дня в Internet Explorer. Атака использовала недостаток в файле JScript9. dll браузера для доставки вируса RokRAT.
ScarCruft использовала технику, включающую всплывающую рекламу, чтобы обманом заставить жертву перейти по вредоносной ссылке. После заражения вредоносная программа перехватывала конфиденциальные данные, включая файлы, нажатия клавиш и скриншоты.
Уязвимость нулевого дня, использованная в атаке, отслеживалась как CVE-2024−38 178 и была исправлена Microsoft в августе 2024 года. Однако исследователи обнаружили, что эксплойт ScarCruft был похож на тот, который они использовали в прошлом, что говорит о том, что группа, возможно, следила за обновлениями безопасности Microsoft и соответствующим образом адаптировала свою тактику.
Атака, пишут СМИ, подчеркивает, что Internet Explorer по-прежнему представляет угрозу, даже после его официального выхода из эксплуатации. Так, многие приложения сторонних разработчиков продолжают использовать компоненты устаревшего браузера, что делает их уязвимыми для эксплуатации.