El actor de amenazas alineado con Rusia conocido como RomCom se ha relacionado con la explotación de día cero de dos fallas de seguridad, una en Mozilla Firefox y la otra en Microsoft Windows, como parte de ataques diseñados para abrir la puerta trasera del mismo nombre en los sistemas de las víctimas.
“En un ataque exitoso, si una víctima navega por una página web que contiene el exploit, un adversario puede ejecutar código arbitrario – sin necesidad de interacción del usuario (cero clic) – lo que en este caso llevó a la instalación de la puerta trasera de RomCom en la computadora de la víctima. ” dijo ESET en un informe compartido con The Hacker News.
Las vulnerabilidades en cuestión se enumeran a continuación:
- CVE-2024-9680 (Puntuación CVSS: 9,8): una vulnerabilidad de uso después de la liberación en el componente Animación de Firefox (parcheado por Mozilla en octubre de 2024)
- CVE-2024-49039 (Puntuación CVSS: 8,8): una vulnerabilidad de escalada de privilegios en el Programador de tareas de Windows (parcheada por Microsoft en noviembre de 2024)
RomCom, también conocido como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 y Void Rabisu, tiene un historial de realizar operaciones de cibercrimen y espionaje desde al menos 2022.
Estos ataques se destacan por la implementación de RomCom RAT, un malware mantenido activamente que es capaz de ejecutar comandos y descargar módulos adicionales a la máquina de la víctima.
La cadena de ataque descubierta por la empresa eslovaca de ciberseguridad implicó el uso de un sitio web falso (economistjournal(.)cloud) que es responsable de redirigir a las posibles víctimas a un servidor (redjournal(.)cloud) que aloja la carga maliciosa que, a su vez, une ambas las fallas para lograr la ejecución del código y eliminar el RomCom RAT.
Actualmente no se sabe cómo se distribuyen los enlaces al sitio web falso, pero se ha descubierto que el exploit se activa si se visita el sitio desde una versión vulnerable del navegador Firefox.
“Si una víctima que utiliza un navegador vulnerable visita una página web que sirve este exploit, la vulnerabilidad se activa y el código shell se ejecuta en un proceso de contenido”, explicó ESET.
“El código shell se compone de dos partes: la primera recupera la segunda de la memoria y marca las páginas que lo contienen como ejecutables, mientras que la segunda implementa un cargador PE basado en el proyecto de código abierto Shellcode reflexivo DLL Inyección (RDI)”.
El resultado es un escape de la zona de pruebas para Firefox que, en última instancia, conduce a la descarga y ejecución de RomCom RAT en el sistema comprometido. Esto se logra mediante una biblioteca integrada (“PocLowIL”) que está diseñada para romper con el proceso de contenido aislado del navegador al utilizar como arma la falla del Programador de tareas de Windows para obtener privilegios elevados.
Los datos de telemetría recopilados por ESET muestran que la mayoría de las víctimas que visitaron el sitio de alojamiento de exploits se encontraban en Europa y América del Norte.
El hecho de que CVE-2024-49039 también fuera descubierto de forma independiente e informado a Microsoft por el Grupo de análisis de amenazas (TAG) de Google sugiere que más de un actor de amenazas puede haberlo estado explotando como un día cero.
También vale la pena señalar que esta es la segunda vez que se descubre que RomCom explota una vulnerabilidad de día cero en la naturaleza, después del abuso de CVE-2023-36884 a través de Microsoft Word en junio de 2023.
“Encadenar dos vulnerabilidades de día cero armó a RomCom con un exploit que no requiere interacción del usuario”, dijo ESET. “Este nivel de sofisticación muestra la voluntad y los medios del actor de la amenaza para obtener o desarrollar capacidades sigilosas”.
