Hackers rusos explotan vulnerabilidades de día cero en Firefox y Windows

Iniciado por AXCESS, Noviembre 30, 2024, 11:25:34 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de ciberseguridad de ESET han descubierto una campaña maliciosa del grupo RomCom, vinculado a Rusia, que combinaba dos vulnerabilidades (de día cero) previamente desconocidas para comprometer sistemas específicos, incluidos Windows y Firefox.

La cadena de ataques, detectada por primera vez el 8 de octubre, comenzó con una vulnerabilidad en Mozilla Firefox, Thunderbird y Tor Browser ( CVE-2024-9680, puntuación CVSS 9.8 ). Si un usuario con un navegador vulnerable visitaba una página web personalizada, el código malicioso podía ejecutarse dentro del entorno restringido del navegador sin ninguna interacción del usuario. Esta vulnerabilidad, un error de "uso después de liberación" en la función de animación de Firefox, fue rápidamente solucionada por Mozilla dentro de las 24 horas posteriores a la notificación por parte de ESET.

Sin embargo, el ataque no se detuvo allí. RomCom encadenó esta vulnerabilidad del navegador con otra falla de día cero en Windows ( CVE-2024-49039, puntuación CVSS 8.8 ) para eludir el "sandbox" de seguridad del navegador. Esta segunda vulnerabilidad permitió a los atacantes ejecutar código con los privilegios del usuario conectado, tomando el control del sistema. Microsoft publicó una solución para este problema el 12 de noviembre.

La cadena de exploits funcionaba primero redirigiendo a los usuarios a sitios web falsos, que utilizaban dominios diseñados para parecer legítimos e incluían los nombres de otras organizaciones, antes de enviarlos a un servidor que alojaba el código de exploit.

Estos sitios falsos a menudo usaban el prefijo o sufijo "redir" o "red" para dirigirse a un dominio legítimo, y la redirección al final del ataque llevaba a las víctimas al sitio web legítimo, ocultando el ataque. Una vez que el exploit se ejecutaba con éxito, instalaba la puerta trasera personalizada de RomCom, lo que les daba a los atacantes acceso remoto y control sobre la máquina infectada.

Flujo del exploit

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La investigación de ESET muestra que RomCom apuntó a varios sectores, incluidas las entidades gubernamentales en Ucrania, la industria farmacéutica en los EE. UU. y el sector legal en Alemania, tanto con fines de espionaje como de cibercrimen. El grupo, también conocido como Storm-0978, Tropical Scorpius o UNC2596, es conocido tanto por sus ataques oportunistas como por su espionaje selectivo.

Desde el 10 de octubre hasta el 4 de noviembre, los datos de ESET mostraron que los usuarios que visitaron estos sitios web maliciosos se encontraban principalmente en Europa y América del Norte, y que el número de víctimas oscilaba entre una y hasta 250 en algunos países.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta