RomCom explota las vulnerabilidades ZeroDay de Firefox y Windows en ciberataques sofisticados - Masterhacks Blog

RomCom explota las vulnerabilidades ZeroDay de Firefox y Windows en ciberataques sofisticados

El grupo de amenazas vinculado a Rusia, conocido como RomCom, ha sido asociado con la explotación de dos vulnerabilidades de día cero: una en Mozilla Firefox y otra en Microsoft Windows, en el marco de ataques dirigidos a instalar un backdoor con su mismo nombre en los sistemas comprometidos.

«En un ataque exitoso, si una víctima visita una página web que contiene el exploit, el atacante puede ejecutar código arbitrario sin requerir interacción del usuario (ataque de cero clics), lo que en este caso resultó en la instalación del backdoor de RomCom en el dispositivo de la víctima», explicó ESET en un informe.

Las vulnerabilidades involucradas son las siguientes:

  • CVE-2024-9680 (Puntuación CVSS: 9.8): una vulnerabilidad de uso después de liberar (use-after-free) en el módulo de animación de Firefox (corregida por Mozilla en octubre de 2024).
  • CVE-2024-49039 (Puntuación CVSS: 8.8): una falla de escalada de privilegios en el Programador de Tareas de Windows (parcheada por Microsoft en noviembre de 2024).

RomCom, que también es conocido bajo los nombres Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 y Void Rabisu, lleva operando desde al menos 2022 con actividades tanto de espionaje como de cibercrimen.

Los ataques destacan por el uso del RomCom RAT, un software malicioso que se actualiza constantemente y tiene la capacidad de ejecutar órdenes y descargar módulos adicionales en los dispositivos afectados.

La empresa de ciberseguridad eslovaca que investigó el caso descubrió que los atacantes utilizaron un sitio web falso (economistjournal[.]cloud) que redirigía a las víctimas a un servidor (redjournal[.]cloud) donde se alojaba el malware. Este servidor utilizaba ambas vulnerabilidades de manera conjunta para ejecutar código malicioso y desplegar el RomCom RAT.

No se ha determinado cómo se distribuyen los enlaces al sitio web falso, pero se ha confirmado que el exploit se activa si se accede al sitio con una versión vulnerable de Firefox.

«Cuando una víctima con un navegador afectado visita una página web con el exploit, la vulnerabilidad se activa y se ejecuta un shellcode en un proceso de contenido«, señaló ESET.

«El shellcode tiene dos partes: la primera obtiene la segunda desde la memoria y marca las páginas correspondientes como ejecutables. La segunda incluye un cargador de PE basado en el proyecto de código abierto Shellcode Reflective DLL Injection (RDI).»

Este proceso permite escapar del entorno aislado (sandbox) de Firefox y, finalmente, descargar y ejecutar el RomCom RAT en el sistema. Para lograrlo, los atacantes emplean una biblioteca integrada («PocLowIL») diseñada para romper el aislamiento del navegador y explotar la vulnerabilidad del Programador de Tareas de Windows para obtener privilegios elevados.

Datos de telemetría recopilados por ESET indican que la mayoría de las víctimas que visitaron el sitio comprometido se encuentran en Europa y América del Norte.

El descubrimiento independiente de CVE-2024-49039 por parte del Grupo de Análisis de Amenazas de Google (TAG), que también informó de la vulnerabilidad a Microsoft, sugiere que múltiples actores maliciosos podrían estar explotándola como un día cero.

Cabe destacar que esta es la segunda vez que RomCom ha sido detectado utilizando una vulnerabilidad de día cero en ataques reales, tras explotar CVE-2023-36884 mediante Microsoft Word en junio de 2023.

«La combinación de dos vulnerabilidades de día cero proporcionó a RomCom un exploit que no requiere interacción del usuario. Este nivel de complejidad demuestra la capacidad y determinación del grupo para desarrollar herramientas avanzadas y sigilosas», afirmó ESET.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *