La estrategia utilizada por estos piratas informáticos es particularmente preocupante, ya que no requiere la interacción del usuario para activar el exploit.
Según una investigación de la firma de seguridad ESET, el grupo de hackers conocido como RomCom ha estado detrás de una serie de ciberataques dirigidos a objetivos en Europa y Estados Unidos. "La vulnerabilidad explotada por RomCom es particularmente peligrosa, ya que permite ejecutar código en el contexto restringido del navegador y en el contexto del usuario registrado de Windows", explican los investigadores de ESET.
Los hackers aprovecharon dos vulnerabilidades de día cero en Firefox y Windows, conocidas como CVE-2024-9680 y CVE-2024-49039, para instalar una puerta trasera en los ordenadores de las víctimas. La primera vulnerabilidad afecta a versiones de Firefox y Thunderbird, permitiendo ejecutar código en el contexto restringido del navegador, mientras que la segunda garantiza la ejecución del código arbitrario en el contexto del usuario registrado de Windows.
Para llevar a cabo el ataque, los hackers crearon webs apócrifas de empresas que ofrecían soluciones de acceso remoto, gestión de TI o redacción independiente. Si la víctima navegaba con una versión vulnerable de Firefox, el exploit descargaba y ejecutaba el backdoor de RomCom en el ordenador. Debido a que se trata de una vulnerabilidad zero-clic, el exploit no requería la interacción del usuario.
Entre los países afectados por este ciberataque se encuentran España y México, según un mapa publicado por los expertos en seguridad. La ilustración muestra que Francia, Alemania, Estados Unidos, Canadá, República Checa y Polonia también fueron objetivos de los hackers. ESET menciona que el número de objetivos potenciales va de una sola víctima por país hasta 250.
Los investigadores alertaron a Mozilla sobre los exploits el 8 de octubre y la empresa lanzó una actualización al día siguiente para Firefox y Thunderbird. Por otro lado, Microsoft parcheó la vulnerabilidad en el programador de tareas de Windows el 12 de noviembre. RomCom es un grupo de hackers alineado con Rusia, el cual ha llevado operaciones de ciberespionaje contra objetivos comerciales y de gobierno.
Entre las víctimas más recientes de RomCom se encuentra Casio, contra quien lanzaron un ataque de ransomware a comienzos de octubre que filtró información confidencial y datos de los empleados y sus socios. El descubrimiento llega a unos cuantos días que se diera a conocer un ciberataque en cadena ejecutado por el grupo ATP28.
Facebook
Whatsapp
Linkedin
Pinterest
Xavier Rivera Martinez
el 27/11/2024 03:22 PM.
