Clicky

RomCom aprovecha los fallos de día cero de Firefox y Windows en sofisticados ciberataques

RomCom

El malware se activa si se visita el sitio desde una versión vulnerable del navegador Firefox

El actor de amenazas alineado con Rusia conocido como RomCom ha sido vinculado a la explotación de día cero de dos fallas de seguridad, una en Mozilla Firefox y la otra en Microsoft Windows, como parte de ataques diseñados para entregar la puerta trasera homónima en los sistemas de las víctimas.

"En un ataque exitoso, si una víctima navega por una página web que contiene el exploit, un adversario puede ejecutar código arbitrario, sin necesidad de interacción del usuario (cero clic), lo que en este caso condujo a la instalación de la puerta trasera de RomCom en la computadora de la víctima", dijo ESET en un informe.

Las vulnerabilidades en cuestión se enumeran a continuación:

CVE-2024-9680 (puntuación CVSS: 9,8): una vulnerabilidad de uso posterior a la liberación en el componente Animación de Firefox (parcheado por Mozilla en octubre de 2024)
CVE-2024-49039 (puntuación CVSS: 8,8): vulnerabilidad de escalada de privilegios en el Programador de tareas de Windows (parcheado por Microsoft en noviembre de 2024)

RomCom, también conocido como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 y Void Rabisu, tiene antecedentes de realizar operaciones de espionaje y delitos cibernéticos desde al menos 2022.

Estos ataques se destacan por el despliegue de RomCom RAT, un malware mantenido activamente que es capaz de ejecutar comandos y descargar módulos adicionales a la máquina de la víctima.

La cadena de ataque descubierta por la empresa eslovaca de ciberseguridad implicó el uso de un sitio web falso (economistjournal[.]cloud) que se encarga de redirigir a las posibles víctimas a un servidor (redjournal[.]cloud) que aloja la carga maliciosa que, a su vez, une ambas fallas para lograr la ejecución del código y eliminar el RAT RomCom.

RomCom RAT

Actualmente no se sabe cómo se distribuyen los enlaces al sitio web falso, pero se ha descubierto que el exploit se activa si se visita el sitio desde una versión vulnerable del navegador Firefox.

"Si una víctima que utiliza un navegador vulnerable visita una página web que ofrece este exploit, se activa la vulnerabilidad y se ejecuta el shellcode en un proceso de contenido", explicó ESET.

"El shellcode se compone de dos partes: la primera recupera la segunda de la memoria y marca las páginas que la contienen como ejecutables, mientras que la segunda implementa un cargador PE basado en el proyecto de código abierto Shellcode Reflective DLL Injection (RDI)".

El resultado es una escapatoria sandbox para Firefox que finalmente conduce a la descarga y ejecución de RomCom RAT en el sistema comprometido. Esto se logra mediante una biblioteca integrada ("PocLowIL") que está diseñada para escapar del proceso de contenido aislado del navegador utilizando la falla del Programador de tareas de Windows para obtener privilegios elevados.

Los datos de telemetría recopilados por ESET muestran que la mayoría de las víctimas que visitaron el sitio donde se alojaba el exploit se encontraban en Europa y América del Norte.

El hecho de que CVE-2024-49039 también fuera descubierto e informado independientemente a Microsoft por el Grupo de Análisis de Amenazas (TAG) de Google sugiere que más de un actor de amenazas puede haber estado explotándolo como día cero.

También vale la pena señalar que esta es la segunda vez que RomCom ha sido descubierto explotando una vulnerabilidad de día cero, después del abuso de CVE-2023-36884 a través de Microsoft Word en junio de 2023.

"Al unir dos vulnerabilidades de día cero, RomCom se dotó de un exploit que no requiere interacción del usuario", afirmó ESET. "Este nivel de sofisticación demuestra la voluntad y los medios del actor de la amenaza para obtener o desarrollar capacidades ocultas".

Jesus_Caceres