O grupo hacker conhecido como RomCom, foi associado à exploração de zero-day de duas falhas de segurança, uma no Mozilla Firefox e outra no Microsoft Windows, como parte de ataques destinados a instalar o backdoor homônimo em sistemas de vítimas.

"Em um ataque bem-sucedido, se uma vítima navegar por uma página web contendo o exploit, um adversário pode executar código arbitrário – sem necessidade de interação do usuário (zero-click) – o que, neste caso, levou à instalação do backdoor RomCom no computador da vítima", explicou a ESET em um relatório compartilhado com The Hacker News.

As vulnerabilidades em questão são:

• CVE-2024-9680 (Pontuação CVSS: 9.8) - Uma vulnerabilidade do tipo "use-after-free" no componente de Animação do Firefox (Corrigida pela Mozilla em outubro de 2024).

• CVE-2024-49039 (Pontuação CVSS: 8.8) - Uma vulnerabilidade de escalação de privilégios no Agendador de Tarefas do Windows (Corrigida pela Microsoft em novembro de 2024).

RomCom, também conhecido como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 e Void Rabisu, tem um histórico de conduzir operações de cibercrime e espionagem desde pelo menos 2022.

Esses ataques são notáveis pelo uso do RomCom RAT, um malware ativamente mantido que é capaz de executar comandos e baixar módulos adicionais na máquina da vítima.

A cadeia de ataque, descoberta pela empresa eslovaca de cibersegurança, envolveu o uso de um site falso (economistjournal[.]cloud) que redireciona potenciais vítimas para um servidor (redjournal[.]cloud) que hospeda a carga maliciosa, combinando ambas as falhas para alcançar a execução de código e instalar o RomCom RAT.

Ainda não se sabe como os links para o site falso são distribuídos, mas foi descoberto que o exploit é ativado se o site for visitado a partir de uma versão vulnerável do navegador Firefox.

"Se uma vítima usando um navegador vulnerável visita uma página web que serve este exploit, a vulnerabilidade é acionada e o shellcode é executado em um processo de conteúdo", explicou a ESET.

"O shellcode é composto por duas partes: a primeira recupera a segunda da memória e marca as páginas contendo como executáveis, enquanto a segunda implementa um carregador PE baseado no projeto de código aberto Shellcode Reflective DLL Injection (RDI)."

O resultado é uma fuga de sandbox do Firefox que culmina no download e execução do RomCom RAT no sistema comprometido. Isso é realizado através de uma biblioteca incorporada ("PocLowIL") projetada para escapar do processo de conteúdo do navegador, aproveitando a falha do Agendador de Tarefas do Windows para obter privilégios elevados.

Dados de telemetria coletados pela ESET mostram que a maioria das vítimas que visitaram o site com o exploit está localizada na Europa e América do Norte.

O fato de que CVE-2024-49039 também foi descoberto e reportado independentemente à Microsoft pelo Grupo de Análise de Ameaças da Google (TAG) sugere que mais de um ator de ameaça pode ter explorado isso como uma vulnerabilidade zero-day.

Vale notar que esta é a segunda vez que RomCom é pego explorando uma vulnerabilidade zero-day no ambiente real, após o abuso de CVE-2023-36884 via Microsoft Word em junho de 2023.

"Encadear duas vulnerabilidades zero-day armou o RomCom com um exploit que não requer interação do usuário", disse a ESET. "Este nível de sofisticação demonstra a vontade e os meios do ator de ameaça de obter ou desenvolver capacidades furtivas."

Via - THN