Besmette advertenties gebruikten IE-lek voor 'zero-click' malware-infectie
Aanvallers hebben recentelijk besmette advertenties gebruikt om Windowsgebruikers zonder enige interactie met malware te infecteren. Daarbij werd gebruikgemaakt van een kwetsbaarheid in Internet Explorer (IE). Microsoft kwam afgelopen augustus met updates voor het beveiligingslek (CVE-2024-38178), dat al voor het uitkomen van de patches actief werd misbruikt. Dat melden antivirusbedrijf AhnLab en het Zuid-Koreaanse National Cyber Security Center (NCSC).
Internet Explorer staat uitgeschakeld in Windows, maar is nog wel in het besturingssysteem aanwezig. Applicaties kunnen ook nog altijd van Internet Explorer gebruikmaken. Daarbij hadden de aanvallers het voorzien op een specifiek advertentieprogramma dat bij allerlei gratis software wordt meegeïnstalleerd en allerlei advertenties laat zien. Dit advertentieprogramma maakt gebruik van een op IE-gebaseerde WebView voor het weergeven van advertenties.
Kwetsbaarheden in Internet Explorer zijn via een dergelijke WebView te misbruiken. De aanvallers maakten hier misbruik van door een Zuid-Koreaans advertentiebedrijf te compromitteren en zo besmette advertenties te verspreiden. Deze advertenties werden automatisch via het kwetsbare advertentieprogramma weergegeven, waarbij de malafide code in de advertenties dankzij het IE-lek automatisch werd uitgevoerd. Er was geen enkele interactie van slachtoffers vereist.
Via de besmette advertenties werd de RokRAT-malware geïnstalleerd die allerlei bestanden van het systeem steelt en terugstuurt naar de aanvallers. Ook slaat de malware toetsaanslagen op, monitort het clipboard en maakt screenshots. Volgens de Zuid-Koreaanse autoriteiten en AhnLab is de aanval het werk van een Noord-Koreaanse groep genaamd StarCruft en APT37.
Of de advertentie aanbiedende website aanklagen voor de geleden schade. Via hun platform bieden ze betaalde advertenties aan dus zijn de verantwoordelijk.
Microsoft is de derde schuldige in deze door een enorm aanvalsvlak (IE) in hun OS te behouden.
Want spionnen en saboteurs kunnen alleen vanuit hun thuisland opereren?
Er bestaat helemaal geen mogelijkheid dat deze Noord-Koreanen dat Zuid-Koreaanse bedrijf fysiek geinfiltreerd zijn.
Of ergens anders in Azie een "kantoortje"/ambassade hebben.
Next.
Als het allemaal zo simpel was, hadden we dat hele (besmette) advertentie-probleem met zijn allen al lang permanent opgelost.
Maar er zijn wereldwijd te veel cowboys (groot en klein, privaat en statelijk) die allemaal mee helpen deze markt te verzieken.
Als het echt zo simpel zou zijn:
Zullen we dan de VS ook meteen maar afsluiten van het internet. De Big tech werken er net zo hard aan mee dat we deze rotzooi voor ogen krijgen met hun anti-adblocker maatregelen. Google voorop.
dism /online /Disable-Feature /FeatureName:Internet-Explorer-Optional-amd64
Want spionnen en saboteurs kunnen alleen vanuit hun thuisland opereren?
Er bestaat helemaal geen mogelijkheid dat deze Noord-Koreanen dat Zuid-Koreaanse bedrijf fysiek geinfiltreerd zijn.
Of ergens anders in Azie een "kantoortje"/ambassade hebben.
Next.
Als het allemaal zo simpel was, hadden we dat hele (besmette) advertentie-probleem met zijn allen al lang permanent opgelost.
Maar er zijn wereldwijd te veel cowboys (groot en klein, privaat en statelijk) die allemaal mee helpen deze markt te verzieken.
Als het echt zo simpel zou zijn:
Zullen we dan de VS ook meteen maar afsluiten van het internet. De Big tech werken er net zo hard aan mee dat we deze rotzooi voor ogen krijgen met hun anti-adblocker maatregelen. Google voorop.
Internationaal opererende organisaties gebruiken gewoon vps en overal terwereld dus afsluiten en internet grens controles zijn al zo'n 30 tot 40 jaar telaat
Want spionnen en saboteurs kunnen alleen vanuit hun thuisland opereren?
Er bestaat helemaal geen mogelijkheid dat deze Noord-Koreanen dat Zuid-Koreaanse bedrijf fysiek geinfiltreerd zijn.
Of ergens anders in Azie een "kantoortje"/ambassade hebben.
Next.
Als het allemaal zo simpel was, hadden we dat hele (besmette) advertentie-probleem met zijn allen al lang permanent opgelost.
Maar er zijn wereldwijd te veel cowboys (groot en klein, privaat en statelijk) die allemaal mee helpen deze markt te verzieken.
Als het echt zo simpel zou zijn:
Zullen we dan de VS ook meteen maar afsluiten van het internet. De Big tech werken er net zo hard aan mee dat we deze rotzooi voor ogen krijgen met hun anti-adblocker maatregelen. Google voorop.
Internationaal opererende organisaties gebruiken gewoon vps en overal terwereld dus afsluiten en internet grens controles zijn al zo'n 30 tot 40 jaar telaat
Niet lang na de aanval van Rusland op de Ukraine, werden meerdere Russische propagandize websites voor ons en Europese internetgebruikers effectief afgesloten. Als dat mogelijk is kan het westen ook technisch beschouwd de Noord-koreanen van het internet afsluiten. Voor zover ik ooit heb gehoord, bevinden de knooppunten van internet zich in westerse landen. Een van de bekendste en grootste internetknooppunten is de Amsterdam Internet Exchange (AMS-IX). Het is niet alleen het belangrijkste knooppunt van Nederland, maar ook een van de grootste in de wereld, gemeten naar de hoeveelheid verkeer. Het is stuivertje wisselen met het Duitse DE-CIX.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
