El grupo de hackers ruso RomCom ha aprovechado dos vulnerabilidades de día cero en ataques dirigidos contra usuarios de Windows y Firefox, afectando principalmente a organizaciones y usuarios en Europa y América del Norte.
La primera falla, conocida como CVE-2024-9680, es un error en la función de línea de tiempo de animación de Firefox que permite a los atacantes ejecutar código dentro del entorno seguro del navegador. Mozilla solucionó este problema el pasado 9 de octubre, apenas un día después de que la empresa de seguridad ESET les alertara sobre la vulnerabilidad.
La segunda vulnerabilidad explotada en esta campaña es un fallo de escalada de privilegios, identificado como CVE-2024-49039, en el servicio Programador de tareas de Windows. Este fallo permite a los atacantes ejecutar código fuera del entorno protegido de Firefox, lo que lo hace aún más peligroso. Microsoft corrigió esta vulnerabilidad el 12 de noviembre.
Te podrá interesar leer: Martes de Parches de Microsoft Corrige 4 Días Cero y 91 Fallas
El grupo RomCom aprovechó estas dos fallas en cadena para realizar ataques Zero-Day, permitiéndoles ejecutar código de forma remota sin que las víctimas hicieran nada. Literalmente, con solo visitar un sitio web malicioso controlado por los atacantes, se descargaba y ejecutaba automáticamente la puerta trasera de RomCom en el sistema de la víctima.
Según el análisis de ESET, uno de los exploits de JavaScript usados en los ataques, llamado "main-tor.js", sugiere que los hackers también estaban apuntando a los usuarios del navegador Tor, específicamente en sus versiones 12 y 13.
Flujo de ataque de RomCom
“La forma en que funciona este ataque es bastante directa: primero hay un sitio web falso que redirige a la víctima a un servidor donde se encuentra el exploit. Si el exploit funciona, se ejecuta un shellcode que descarga e instala el backdoor de RomCom en el sistema”, explicó el investigador de ESET.
“Aunque no sabemos exactamente cómo se distribuye el enlace al sitio falso, lo preocupante es que, si entras a esa página usando un navegador vulnerable, la carga maliciosa se descarga y se ejecuta automáticamente en tu computadora, sin que tengas que hacer nada”.
Una vez que el malware se instalaba en el dispositivo de la víctima, los atacantes podían ejecutar comandos y desplegar más cargas maliciosas según sus necesidades.
Al combinar dos vulnerabilidades Zero-Day, RomCom creó un exploit extremadamente sofisticado que no requiere ninguna acción por parte del usuario. Este nivel de complejidad demuestra claramente que los atacantes cuentan con los recursos y habilidades para desarrollar herramientas avanzadas y discretas.
Además, el elevado número de dispositivos comprometidos con la puerta trasera de RomCom sugiere que se trató de una campaña a gran escala. Los objetivos identificados van desde casos individuales en países específicos hasta campañas con cientos de víctimas potenciales en diferentes regiones.
Mapa de calor de las víctimas (Fuente: ESET)
RomCom tiene historial cuando se trata de explotar vulnerabilidades Zero-Day en sus ataques. En julio de 2023, el grupo utilizó una falla crítica (CVE-2023-36884) en productos de Windows y Office para atacar a organizaciones que asistieron a la Cumbre de la OTAN en Vilna, Lituania.
Este grupo, también conocido como Storm-0978, Tropical Scorpius o UNC2596, ha estado vinculado a campañas que mezclan motivaciones financieras con ataques de ransomware, extorsión y robo de credenciales, probablemente para apoyar operaciones de inteligencia más amplias.
Además, se les ha relacionado con el ransomware Industrial Spy, una operación que más tarde evolucionó y adoptó el nombre Underground.
Actualmente, RomCom ha ampliado su enfoque y ahora dirige sus ataques hacia organizaciones en Ucrania, Europa y América del Norte. Sus objetivos incluyen sectores clave como gobierno, defensa, energía, farmacéutica y seguros, utilizando tácticas de espionaje y otras técnicas avanzadas.
Aunque las vulnerabilidades Zero-Day son difíciles de prever, existen prácticas recomendadas que los usuarios y empresas pueden implementar para reducir los riesgos. A continuación, te explicamos algunas de las medidas más efectivas:
1. Mantén tu software actualizado: Los desarrolladores suelen lanzar parches de seguridad tan pronto como descubren una vulnerabilidad. Por lo tanto, actualizar tu sistema operativo, navegador y demás software regularmente es crucial. Microsoft y Mozilla ya han publicado actualizaciones para corregir las vulnerabilidades explotadas por RomCom.
2. Instala software de seguridad confiable: Los antivirus y herramientas de detección de malware pueden identificar actividades sospechosas y bloquearlas antes de que causen daños. Opta por soluciones de seguridad reconocidas y mantenlas actualizadas.
3. Evita enlaces sospechosos: Los ataques de spear phishing dependen de que las víctimas hagan clic en enlaces maliciosos. Siempre verifica la legitimidad de los correos electrónicos antes de interactuar con ellos. No descargues archivos adjuntos ni accedas a enlaces de remitentes desconocidos.
4. Realiza copias de seguridad: Hacer copias de seguridad regulares de tus datos garantiza que puedas recuperarlos en caso de un ataque. Utiliza soluciones de almacenamiento en la nube o discos externos seguros.
Las vulnerabilidades Zero-Day en Firefox y Windows que RomCom ha explotado nos recuerdan lo vulnerable que puede ser nuestra seguridad digital si no tomamos las medidas adecuadas. Este tipo de ataques no solo afectan a empresas grandes, sino también a usuarios comunes que no están preparados.
La clave para protegernos está en la prevención: mantener siempre el software actualizado, aplicar prácticas básicas de seguridad y estar atentos a las últimas amenazas. No esperes a que algo pase para actuar. Refuerza la seguridad de tus dispositivos, toma precauciones y recuerda que la mejor defensa siempre es estar un paso adelante de los atacantes.