Um ator de ameaças alinhado à Rússia, conhecido como RomCom, foi vinculado à exploração de zero-day de duas falhas de segurança, uma no Mozilla Firefox e outra no Microsoft Windows, como parte de ataques projetados para entregar o backdoor homônimo nos sistemas das vítimas.
"Em um ataque bem-sucedido, se uma vítima navegar por uma página da web contendo o exploit, um adversário pode executar código arbitrário – sem qualquer interação do usuário (zero click) – o que, neste caso, levou à instalação do backdoor do RomCom no computador da vítima", disse a ESET em um relatório compartilhado.
As vulnerabilidades em questão estão listadas abaixo:
CVE-2024-9680
(pontuação CVSS: 9.8) - Uma vulnerabilidade de use-after-free no componente de animação do Firefox (corrigida pela Mozilla em outubro de 2024)
CVE-2024-49039
(pontuação CVSS: 8.8) - Uma vulnerabilidade de escalada de privilégios no Agendador de Tarefas do Windows (corrigida pela Microsoft em novembro de 2024)
RomCom, também conhecido como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 e Void Rabisu, tem um histórico de condução tanto de operações de cibercrime quanto de espionagem desde pelo menos 2022.
Esses ataques são notáveis pela implantação do RomCom RAT, um malware ativamente mantido que é capaz de executar comandos e baixar módulos adicionais para a máquina da vítima.
A cadeia de ataque descoberta pela empresa eslovaca de cibersegurança envolveu o uso de um site falso (economistjournal[.]cloud) responsável por redirecionar possíveis vítimas a um servidor (redjournal[.]cloud) hospedando o payload maliciosa que, por sua vez, encadeia ambas as falhas para alcançar a execução de código e soltar o RomCom RAT.
Atualmente, não se sabe como os links para o site falso são distribuídos, mas foi descoberto que o exploit é acionado caso o site seja visitado de uma versão vulnerável do navegador Firefox.
"Se uma vítima usando um navegador vulnerável visitar uma página da web que serve esse exploit, a vulnerabilidade é acionada e o shellcode é executado em um processo de conteúdo", explicou a ESET.
O shellcode é composto por duas partes: a primeira recupera a segunda da memória e marca as páginas contendo como executáveis, enquanto a segunda implementa um carregador PE baseado no projeto de código aberto Shellcode Reflective DLL Injection (RDI).
O resultado é um escape de sandbox para o Firefox que, em última análise, leva ao download e execução do RomCom RAT no sistema comprometido.
Isso é realizado por meio de uma biblioteca embutida ("PocLowIL") projetada para sair do processo de conteúdo isolado do navegador, explorando a falha do Agendador de Tarefas do Windows para obter privilégios elevados.
Dados de telemetria coletados pela ESET mostram que a maioria das vítimas que visitaram o site hospedando o exploit estava localizada na Europa e na América do Norte.
O fato de que o
CVE-2024-49039
também foi descoberto independentemente e relatado à Microsoft pelo Google's Threat Analysis Group (TAG) sugere que mais de um ator de ameaça pode ter estado explorando-o como um zero-day.
Vale também destacar que esta é a segunda vez que o RomCom é pego explorando uma vulnerabilidade de zero-day na prática, após o abuso do
CVE-2023-36884
via Microsoft Word em junho de 2023.
"Encadear juntas duas vulnerabilidades de zero-day armou o RomCom com um exploit que não requer interação do usuário", disse a ESET.
Este nível de sofisticação mostra a vontade e os meios do ator de ameaça para obter ou desenvolver capacidades furtivas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...