Grupo RomCom Explora Vulnerabilidades Zero-Day no Firefox e Windows

Vulnerabilidades Críticas no VSPC

Grupo de ameaça conhecido como RomCom, está aproveitando vulnerabilidades zero-day críticas no Mozilla Firefox e no Microsoft Windows para distribuir seu backdoor, o RomCom RAT, em ataques altamente direcionados.

Os exploits exploram duas falhas graves:

CVE-2024-9680 (CVSS: 9.8) – Uma vulnerabilidade de use-after-free no componente de animação do Firefox. Esse tipo de falha permite que um invasor execute código arbitrário, explorando uma liberação incorreta de memória. Corrigida pela Mozilla em outubro de 2024, a exploração dessa vulnerabilidade ocorre de forma zero-click, ou seja, sem necessidade de interação do usuário.

CVE-2024-49039 (CVSS: 8.8) – Uma vulnerabilidade de escalonamento de privilégios no Agendador de Tarefas do Windows. Este exploit permite que invasores quebrem proteções de sandbox, ganhem privilégios elevados e instalem persistência no sistema comprometido. A falha foi corrigida pela Microsoft em novembro de 2024.

Cadeia de Ataque 

O ataque inicia com a disseminação de links para um site falso, economistjournal[.]cloud, que redireciona as vítimas para um servidor malicioso (redjournal[.]cloud). Esse servidor contém os exploits que encadeiam as duas vulnerabilidades para executar código arbitrário e instalar o RomCom RAT.

A sequência é complexa:

Quando um navegador Firefox vulnerável acessa o site malicioso, a vulnerabilidade CVE-2024-9680 é explorada, permitindo a execução de um shellcode em dois estágios.

O primeiro estágio prepara a memória do sistema, enquanto o segundo implementa uma técnica conhecida como Reflective DLL Injection, usando a biblioteca “PocLowIL” para escapar do sandbox do navegador.

Em seguida, a falha CVE-2024-49039 é usada para obter privilégios elevados, permitindo o controle total do sistema infectado.

Essa abordagem demonstra um alto nível de sofisticação, destacando o uso de ferramentas avançadas, como a integração de componentes baseados em código aberto para maximizar a eficácia dos ataques.

Impacto e Distribuição Global

Dados de telemetria indicam que a maioria das vítimas está localizada na Europa e na América do Norte. As investigações mostram que a CVE-2024-49039 também foi identificada por equipes como o Google Threat Analysis Group (TAG), sugerindo que outros agentes de ameaça podem estar explorando a mesma falha.

Esta não é a primeira vez que o RomCom explora vulnerabilidades zero-day. Em junho de 2023, o grupo utilizou a CVE-2023-36884 em um ataque envolvendo documentos do Microsoft Word. O uso reiterado de zero-days demonstra a capacidade e os recursos do grupo para desenvolver exploits avançados, além de seu objetivo contínuo de espionagem e cibercrimes.

Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que transforma riscos cibernéticos em respostas confiáveis. Agende uma demo aqui

 

Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.

Compartilhe a postagem:

Posts relacionados

Assine nossa newsletter