RomCom utiliza falhas de Zero day no Firefox e Windows para instalar malware
O grupo de cibercrime RomCom, ligado à Rússia, tem sido associado a ataques sofisticados que exploram vulnerabilidades de dia zero no navegador Mozilla Firefox e no sistema Microsoft Windows. Esses ataques têm como objetivo instalar o backdoor RomCom RAT, oferecendo controle remoto sobre os dispositivos das vítimas.
Entre as falhas exploradas estão:
- CVE-2024-9680 (CVSS 9,8): Uso após liberação no componente de animação do Firefox, corrigida em outubro de 2024.
- CVE-2024-49039 (CVSS 8,8): Escalonamento de privilégios no Agendador de Tarefas do Windows, corrigida em novembro de 2024.
A ESET, empresa de segurança cibernética, revelou que os ataques começam por sites falsos, como economistjournal[.]cloud, que redirecionam as vítimas para servidores maliciosos. Esses servidores hospedam os exploits que combinam as duas falhas para invadir sistemas e instalar o malware. Impressionantemente, o ataque dispensa interação do usuário: apenas visitar o site com uma versão vulnerável do Firefox já aciona o exploit.
Cadeia de Ataque
O ataque utiliza uma falha no Firefox para escapar do sandbox e, junto à vulnerabilidade do Windows, executar o malware com privilégios elevados. Segundo a ESET, as vítimas principais estão localizadas na Europa e América do Norte.
Histórico do RomCom
Conhecido desde 2022, o grupo RomCom, também chamado de Storm-0978 ou Void Rabisu, é especializado em espionagem e cibercrime. Em 2023, já havia explorado outra falha crítica no Microsoft Word.
Especialistas ressaltam a sofisticação dos ataques, que utilizam vulnerabilidades sem interação do usuário e refletem o avanço tecnológico do grupo. Além disso, a falha CVE-2024-49039 foi identificada por outros pesquisadores, indicando possível exploração por outros atores maliciosos.
Fonte: BoletimSec
Saiba mais sobre o Seguro Cyber:
