Malafide advertenties verspreiden malware via zeroday in Internet Explorer

Cybercriminelen hebben een zeroday in Internet Explorer misbruikt om malware te verspreiden en data te stelen van slachtoffers. De malware wordt automatisch uitgevoerd, zonder dat er interactie van slachtoffers nodig is. Microsoft heeft het lek in augustus met een patch gedicht.

De aanval begon in mei dit jaar en werd ontdekt door het National Cyber Security Center van Zuid-Korea en AhnLab. Volgens de organisaties misbruiken de aanvallers de zeroday gevolgd als CVE-2024-38178, die in Internet Explorer zit. Hoewel Internet Explorer al sinds 2022 niet meer ondersteund wordt, zitten er diverse componenten daarvan nog altijd in Windows. Ook gebruikt sommige software deze componenten nog. Daardoor blijft het mogelijk om kwetsbaarheden in Internet Explorer te misbruiken.

In dit geval wordt de zeroday misbruikt via een Zuid-Koreaans advertentieprogramma dat met diverse gratis software wordt meegeïnstalleerd. Dat programma gebruikt een op Internet Explorer-gebaseerde WebView om advertenties te tonen. De criminelen verspreidden via het programma malafide advertenties, die automatisch worden weergegeven. De code in deze advertenties wordt dankzij de kwetsbaarheid automatisch uitgevoerd zonder dat het slachtoffer daar iets voor hoeft te doen.

Op die manier werd een variant van de RokRAT-malware geïnstalleerd, die allerlei bestanden steelt en naar de aanvallers stuurt. Daarnaast worden toetsaanslagen opgeslagen, wordt het clipboard gemonitord en worden iedere drie minuten screenshots gemaakt. Hoewel de zeroday ondertussen gedicht is, is er geen garantie dat software die oudere componenten gebruikt deze ook installeert, benadrukt Bleeping Computer. Gratis software die verouderde componenten van Internet Explorer gebruiken, vormen dus nog steeds een risico.

De Zuid-Koreaanse autoriteiten en AhnLab stellen dat de Noord-Koreaanse hackersgroep ScarCruft, ook bekend als APT37, achter de aanval zit. Dit is een groepering die door de staat gesponsord wordt en vooral cyberspionage uitvoert in Zuid-Korea en Europa.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 17-10-2024 09:29
34 • submitter: wildhagen

17-10-2024 • 09:29

34

Submitter: wildhagen

Lees meer

VS verdenkt Noord-Koreaanse ict'ers op afstand van grootschalige fraude
VS verdenkt Noord-Koreaanse ict'ers op afstand van grootschalige fraude Nieuws van 13 december 2024
ESET: Russische hackers combineerden Firefox- en Windows-zerodays voor backdoors
ESET: Russische hackers combineerden Firefox- en Windows-zerodays voor backdoors Nieuws van 27 november 2024
Synology dicht kritieke kwetsbaarheden in camera's en BeeStation-NAS'en
Synology dicht kritieke kwetsbaarheden in camera's en BeeStation-NAS'en Nieuws van 18 oktober 2024
Microsoft Surface Laptop met Intel Lunar Lake-cpu verschijnt op tweedehandssite
Microsoft Surface Laptop met Intel Lunar Lake-cpu verschijnt op tweedehandssite Nieuws van 16 oktober 2024
Microsoft schikt in rechtszaak van gamers over overname Activision Blizzard
Microsoft schikt in rechtszaak van gamers over overname Activision Blizzard Nieuws van 15 oktober 2024
Xbox Game Pass gaat CoD: Black Ops 6 en Warzone aanbieden via Cloud Gaming
Xbox Game Pass gaat CoD: Black Ops 6 en Warzone aanbieden via Cloud Gaming Nieuws van 14 oktober 2024
'Gebruikers kunnen vanaf november gekochte games streamen via Xbox Cloud Gaming'
'Gebruikers kunnen vanaf november gekochte games streamen via Xbox Cloud Gaming' Nieuws van 13 oktober 2024
Bug Windows 11 24H2 zorgt voor niet te verwijderen cache van 8,63GB
Bug Windows 11 24H2 zorgt voor niet te verwijderen cache van 8,63GB Nieuws van 11 oktober 2024
Microsoft dicht vier zerodays, waarvan twee al actief misbruikt werden
Microsoft dicht vier zerodays, waarvan twee al actief misbruikt werden Nieuws van 10 oktober 2024
Microsoft brengt vermoedelijk laatste update uit voor Surface Duo 2
Microsoft brengt vermoedelijk laatste update uit voor Surface Duo 2 Nieuws van 9 oktober 2024
Microsoft start test api 'privacyvriendelijke' advertenties Edge
Microsoft start test api 'privacyvriendelijke' advertenties Edge Nieuws van 9 oktober 2024
Meer producten en artikelen
Beveiliging en antivirus Microsoft Internet Explorer Criminaliteit Cybercrime

Reacties (34)

-Moderatie-faq
34
34
24
1
0
7
Wijzig sortering
Zwolsermbtr 17 oktober 2024 09:37
Ik dacht wat maakt het uit, wie gebruikt IE nog? Maar volgens Statista heeft Internet Explorer nog steeds een marketshare van 0,16%. Niet veel, maar dat gaat nog steeds om miljoenen gebruikers.
3raser @Zwolsermbtr17 oktober 2024 09:42
In dit geval gaat het dan ook om een WebView component wat binnen applicaties gebruikt wordt om websites te kunnen tonen. Ik denk niet dat daar een marketshare een valt te knopen want het is geen normale browser. Je hebt zomaar kans dat je binnen Windows 11 met een recente applicatie nog gebruikt maakt van die IE-webview zonder dat je het weet.
The Zep Man
@3raser17 oktober 2024 09:48
Je hebt zomaar kans dat je binnen Windows 11 met een recente applicatie nog gebruikt maakt van die IE-webview zonder dat je het weet.
Het verbaast mij dat de Trident engine nog steeds wordt meegeleverd. Aan de andere kant zal dat wel kritisch zijn voor backwards compatibility. Microsoft zou kunnen overwegen om Trident te kortwieken zodat het alleen voor lokale zaken gebruikt kan worden (wellicht met een GPO overrule voor enterprisevarianten van Windows voor die één of twee legacy use cases die echt niet zonder kunnen).
Blokker_1999
@The Zep Man17 oktober 2024 10:00
Het probleem zit dan ook niet in de meegeleverde versie van webview, maar wel wanneer applicaties zelf webview gaan meeleveren met de applicatie. Want die kan niet bijgewerkt worden door het OS maar moet door de applicatiemaker bijgehouden worden.
Olaf van der Spek @Blokker_199917 oktober 2024 10:10
maar wel wanneer applicaties zelf webview gaan meeleveren met de applicatie.
Is dat mogelijk / toegestaan met IE?
Raymond Deen @Olaf van der Spek17 oktober 2024 12:07
Jep. Assembly Microsoft.Web.WebView2 binden aan je applicatie, voor een vaste versie kiezen en je bent er.
Eigenlijk wel schokkend, maar je doet er dus helemaal niets aan.
Dit is overigens niet Windows specifiek, maar alle mainstream desktop os-en hebben hier volgens mij last van.
SunnieNL @Raymond Deen17 oktober 2024 12:17
Niet eens alleen os-en.. hetzelfde geldt bv. voor de java engine.
Die kan een vendor gewoon meeleveren met zijn software en nooit updaten. Staat er ineens een hele oude, niet gepatchde java.exe op elke client die een gebruiker ook gewoon kan starten.
Llopigat
@Raymond Deen18 oktober 2024 02:46
Maar dan is het tenminste geen onderdeel van het OS en is de applicatie ontwikkelaar volledig aansprakelijk.

Bovendien kan je die component dan blacklisten in je antivirus.
WoutervOorschot @Olaf van der Spek17 oktober 2024 12:56
Nee, de internet explorer webview is gebonden aan een geïnstalleerde internet explorer. Daarom bestaat er ook altijd nog een stompje van in Windows, om oude programma's te ondersteunen.

Dit is ook van de situatie bij de WebView(edge legacy/EdgeHTML), ingebakken in windows (was alleen voor apps met de windows app sdk, windows RT of uwp 1.x/2.x, weinig in gebruik dus).

Met WebView2 (op Edge chromium) kun je kiezen of je deze in je applicatie wilt bundelen (op een versie) of de algemene versie van windows wilt gebruiken (die geupdated kan worden door windows).
joost00719 @Zwolsermbtr17 oktober 2024 09:42
Bedrijfsapplicaties die niet meer geüpdatet worden, maar 20 jaar later nog steeds de backbone vormt van een bedrijf.
Llopigat
@joost0071918 oktober 2024 02:47
Nou soms is het ook dat er wel een nieuwe versie is maar dat de klant zoveel aanpassingen heeft gedaan die niet mee kunnen naar de nieuwe versie. Zo heb ik bij een werkgever jaren aan een oude versie van siebel vastgezeten. Het zou meerdere miljoenen kosten om alles over te zetten naar een moderne versie. Sowieso een gruwel van een programma, alles verstopt onder horizontaal scrollen. Brr

[Reactie gewijzigd door Llopigat op 18 oktober 2024 02:48]

jeroen3 @Zwolsermbtr17 oktober 2024 09:57
Internet Explorer is nog steeds een onderdeel van Windows, en is nog de enige optie in Windows LTSC.
Maurits van Baerle @Zwolsermbtr17 oktober 2024 10:22
Was Zuid Korea niet het land waar hun DigiD-achtige overheidsidentificatiesysteem ActiveX gebruikte? Dan zul je in Zuid Korea dus ook veel meer gebruikers van IE tegen komen dan in andere landen.
SinergyX
17 oktober 2024 09:39
Hoe kan je eigenlijk zien wanneer een programma browser X gebruikt? Zo waren er aantal games, maar bv Steam zelf ook, die een eigen 'ingame' browser hebben, maar ook veel mobiele apps lijken eigen browser te hebben? Buiten dat veel websites natuurlijk amper te zien zijn nog op IE, is het niet te zien of 'die' browser dan een verouderde en kwestbare versie lijkt te zijn.
MarcMK2 @SinergyX17 oktober 2024 09:57
Ik weet dit niet helemaal zeker of dit voor alle telefoons/apps geldt maar op android is de interne browser in apps bij mij firefox omdat dit mijn default browser is.
3raser @MarcMK217 oktober 2024 10:01
Zo werkt dat niet. In Windows niet en ook in Android niet. Apps die gebruik maken van een browser maken geen gebruik van jouw standaard browser, maar van de WebView browser. In Android is dat volgens mij ook een soort Chrome-achtige browser. Hij staat in ieder geval compleet los van je browser app.
tw-backdoorbug @3raser17 oktober 2024 10:38
Veel 'in app' browsers worden wél uitgevoerd met de standaard browser op Android, in ieder geval de laatste versies. Vaak is dit te zien via het hamburger menu, waar dan bijstaat 'wordt uitgevoerd in Edge/Firefox/Chrome/Samsung Internet'.

Ik denk dat Android hier inmiddels een API voor heeft.

Windows daarin tegen, moet je vaak óf de IE API aanroepen óf een eigen WebView meeleveren. Misschien is het inmiddels zo dat Edge een WebView API heeft, geen idee.

Bron: ik heb enige ervaring met het maken van apps, waarbij we gebruik maakten van veel web based zooi via WebViews.
MarcMK2 @tw-backdoorbug17 oktober 2024 11:10
dank voor de verduidelijking
lepel @SinergyX17 oktober 2024 13:39
Door met zo'n browser een website te bezoeken die de browser agent kan tonen. Binnen Steam kan dat redelijk makkelijk en krijg je dit als useragent terug:
Mozilla/5.0 (Windows NT 10.0; Win64; x64; Valve Steam Client/default/1726604483) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5414.120 Safari/537.36

[Reactie gewijzigd door lepel op 17 oktober 2024 13:39]

GeroldM @SinergyX17 oktober 2024 17:09
Met software zoals 'Process Explorer' / 'Process Monitor' of gouwe ouwe 'DependencyViewer'. Allen zijn gratis te downloaden en te gebruiken.
CriticalHit_NL 17 oktober 2024 09:43
Geeft toch maar weer aan dat ook anno nu advertenties nog steeds de mogelijkheid hebben via exploits malware te verspreiden. Nu is dit wel het verouderde Internet Explorer maar het standpunt blijft vooralsnog staan.
3raser @CriticalHit_NL17 oktober 2024 10:07
Advertenties zijn gewoon stukjes code, dus die kunnen te allen tijde malware verspreiden. Alles wat code bevat kan malware verspreiden. Zelfs je eigen virusscanner zou malware kunnen verspreiden als hackers toegang krijgen tot het systeem welke bijvoorbeeld de updates van de software uitrolt. Wees hierin niet naïef, dit is een probleem wat nooit op te lossen valt. Het beste wat je kunt doen is je updates installeren in de hoop dat de leveranciers van je software zoveel mogelijk lekken weten te dichten.
CriticalHit_NL @3raser17 oktober 2024 10:18
Eigenlijk is het sowieso dweilen met de kraan open, dan is er firmware van de hardware lek, dan de drivers van allerlei hardware componenten, dan de CPUs, dan het OS weer en ga zo maar door. En eigenlijk alles wat kernel-level access heeft zoals AVs zijn soms ook uit te buiten zoals Symantec een tijd geleden had met een RAR decompression library die heap overflows bevatte, en omdat de scanners normaliter op kernel-niveau werken heb je dan direct een mooie privilege escalation. (https://www.kb.cert.org/vuls/id/305272)
Alex3 @CriticalHit_NL17 oktober 2024 16:22
Microsoft wil dan ook toegang tot de kernel van dit soort software inperken, zo las ik hier onlangs.
Blokker_1999
17 oktober 2024 09:36
Microsoft heeft het lek dan ook netjes gedicht met de security updates van Augustus voor alle besturingssystemen die op dat moment kwetsbaar waren en ondersteund werden. Maar als softwaremakers natuurlijk statisch een oude versie van de componenten met hun applicatie meeleveren ga je natuurlijk nooit systemen helemaal veilig kunnen houden.
MaxxBass 17 oktober 2024 09:42
Prachtige usecase om Pihole of iets dergelijks te draaien. Dan heb je kans dat deze ook geblocked worden.
francisp 17 oktober 2024 09:45
Delphi's TWebBrowser gebruikt nog altijd the Trident Engine (=IE)
t2012 17 oktober 2024 09:55
Klopt daar zit het meeste gebruik in. Voorheen gebruikte je het soms nog vanaf een server maar dat staat eigenlijk ook altijd edge op.

Het gebruiken van deze webview (default browser noemt Microsoft het) wordt wel steeds lastiger gemaakt. Steeds vaker worden bijvoorbeeld webfonts geblokkeerd (ivm kwetsbaarheid) waardoor een ontwikkelaar het bijna onmogelijk wordt gemaakt een leuke interface te tonen. Het bedrijf wat nog de meeste software maakt die afhankelijk is van ie is Microsoft zelf. Er zijn nog veel beheer schermen waar dit in zit. Bijvoorbeeld The Group Policy Editor.
CAPSLOCK2000
17 oktober 2024 13:50
Ik hoor veel te vaak enge verhalen over Zuid-Koreaanse software en heb recent wat zitten lezen over het softwarelandschap daar en dat is fascinerend. Let op, ik ben geen expert, ik heb geen eigen ervaring, ik heb alleen wat blogs gelezen, misschien zit ik er helemaal naast. Dat ze nog IE gebruiken past echter precies in het plaatje.

Het lijkt een enorm geval van "remmende voorsprong". Ooit, jaren geleden, hebben ze heel veel software en diensten ontwikkeld en sindsdien lijken ze gevangen te zitten in een web van onvervangbare legacy applicaties en protocollen die alleen in ZK gebruikt worden en inmiddels sterk verouderd zijn, met alle security ellende van dien.

Ze hebben een heel eigen IT-landschap dat voor z'n tijd heel innovatief was, zoals online bankieren, en z'n heel eigen security principes heeft ontwikkelt (ik neem aan onder druk van NK & China).

Een voorbeeld is dat iedereen verschillend applicaties heeft geïnstalleerd om online te betalen en iedere bank heeft extra eisen zoals dat je een bepaalde virusscanner moet draaien of een goedgekeurde keyboarddriver, en er is weer andere software om daar op toe te zien. Vanwege compatibility wordt oude zooi niet uitgefaseerd of verbeterd maar is het gebruikelijk om extra software toe te voegen om de gaten te dichten. Omdat het zo'n spinnenweb is durven mensen niks te upgraden. Dus is worden er steeds meer applicaties bijgeinstalleerd.

Een ander voorbeeld is dat sommige applicaties nog steeds http gebruiken, maar dan met hun eigen smaakje SSL er overheen (ipv ons https) en door onhandige keuzes zitten ze nog vast aan antieke ciphers waardoor het maar de vraag is of het uberhaupt zin heeft. Maar ze kunnen het ook niet centraal uitschakelen of vervangen. Alle nieuwe applicaties moeten het oude protocol blijven spreken en leggen er dan weer hun eigen security-laagje overheen.

Het was interessant om te zien wat voor oplossingen ze hebben ontwikkelt voordat die bij "ons" kwamen. Maar ze zitten er nog steeds mee en ze moeten alle problemen zelf vinden en oplossen want ze kunnen niet meeliften op de ontwikkelingen in de rest van de wereld, zoals security researchers die elkaars systemen eindeloos onderzoeken.

Nogmaals, ik ben geen expert, verre van dat, maar ik zal niet snel Zuid-Koreaanse banksoftware installeren als ik ooit naar ZK ga dan neem ik een burnerphone mee.

[Reactie gewijzigd door CAPSLOCK2000 op 17 oktober 2024 13:52]

Aldy 17 oktober 2024 14:19
Microsoft heeft het lek weliswaar gedicht, maar wat als het te laat is? Iemand een idee wat je moet doen als je pc inmiddels geïnfecteerd is?
Alex3 @Aldy17 oktober 2024 16:27
Virusscanner draaien, zonodig vanaf een live-cd of -dvd.
Aldy @Alex317 oktober 2024 17:44
Logisch natuurlijk. Had ik zelf ook moeten weten. Bedankt.
DeTeraarist @Aldy17 oktober 2024 18:32
De boel formatteren en je recentste backup die nog niet geinfecteerd is terugplaatsen.
Als je geïnfecteerd bent, heeft je virusscanner al een steekje laten vallen en is dus niet te vertrouwen.
UraniumBullet 17 oktober 2024 15:19
Wat een ontdekking zeg

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq