Zero-Day en Internet Explorer adoptado por RIG Exploit Kit después de la publicación del código PoC

Zero-Day en Internet Explorer adoptado por RIG Exploit Kit después de la publicación del código PoC

Una vulnerabilidad Zero-Day en Internet Explorer que salió a la luz el mes pasado ahora se ha incorporado en el kit de exploits RIG, un kit de herramientas basado en web que los autores de malware usan para infectar a los visitantes de un sitio con malware.

La vulnerabilidad en cuestión es CVE-2018-8174. Esta vulnerabilidad afecta a VBScript, el motor de scripting de Visual Basic que se incluye con Internet Explorer y Microsoft Office.

El 20 de abril os contamos que un investigador de seguridad chino que un grupo de ciberespionaje estaba usando esta vulnerabilidad para infectar a los usuarios a través de Internet Explorer, como parte de una serie de ataques llevados a cabo por lo que más tarde resultó ser un hackeo patrocinado por el estado norcoreano.

Los investigadores de seguridad de Qihoo 360, que detectaron estos ataques por primera vez, informaron sobre la vulnerabilidad de Microsoft, y la compañía corrigió el error en las actualizaciones de seguridad de Parche de mayo de 2018, publicadas el 8 de mayo.

Redacciones y PoC conducen a la incorporación de RIG EK

Escritos posteriores de Qihoo 360, Kaspersky Lab y Malwarebytes revelaron más detalles sobre la nueva cadena de explotación Zero-Day, que los investigadores de Qihoo llamaron "double kill".

Estos informes también se encontraban en la base de un código de prueba de concepto (PoC) publicado en GitHub por el investigador de seguridad de Morphisec, Michael Gorelik. Un >módulo para Metasploit</a fue lanzado poco después.

Pero como sucedió muchas veces en el pasado, la publicación de estos documentos técnicos y el código PoC también han ayudado a los autores de malware, no solo a los investigadores de seguridad.

Durante más de una semana, el kit de exploits RIG ha presentado un nuevo exploit en su arsenal de vulnerabilidades armadas.

CVE-2018-8174 utilizado para impulsar coinminer

Detectado por primera vez por el investigador de seguridad Kaffeine y luego confirmado por Trend Micro, el kit de exploits RIG ahora usa CVE-2018-8174 para infectar a los usuarios de Internet Explorer con malware.

Los ladrones están secuestrando el tráfico de sitios legítimos y redirigiendo a los usuarios de IE a las páginas web que alojan el kit de explotación RIG, donde RIG intenta infectar a la víctima con el malware Smoke Loader, explotando la vulnerabilidad CVE-2018-8174 en el motor VBScript de IE.

Smoke Loader es conocido como un "cuentagotas de malware" y, tras recibir más instrucciones, descargará e instalará otro malware en los ordenadores de los usuarios, uno que secretamente extrae criptomonedas de los PCs de los usuarios.

CVE-2018-8174 da una nueva vida a las operaciones de RIG EK

Si bien en un principio, los piratas informáticos norcoreanos utilizaron CVE-2018-8174 para dirigirse a personas de interés para el régimen de Pyongyang, ahora este antiguo día cero sigue el patrón de todos los días cero antes que él, y ha ingresado en el espacio público y en la cadena de explotación del RIG EK, donde se usa para apuntar a todos los usuarios, no solo a unos pocos seleccionados.

Como lo han señalado Malwarebytes, Trend Micro y Kafeine, la adición de CVE-2018-8174 da algo de vida al RIG EK, que anteriormente no ha visto nuevas actualizaciones durante más de un año.

Además, la evidencia reciente sugiere que además de RIG, CVE-2018-8174 ahora también es utilizado por Cobalt, un grupo de piratería bien conocido que apunta a los bancos y el sector financiero.