Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • RomCom explota las fallas de día cero de Firefox y Windows en sofisticados ciberataques
  • Tecnología

RomCom explota las fallas de día cero de Firefox y Windows en sofisticados ciberataques

teknomers 26 de Kasım de 2024 (Last updated: 26 de Kasım de 2024) 4 minutes read
RomCom explota las fallas de día cero de Firefox y


26 de noviembre de 2024Ravie LakshmananVulnerabilidad / Cibercrimen

El actor de amenazas alineado con Rusia conocido como RomCom se ha relacionado con la explotación de día cero de dos fallas de seguridad, una en Mozilla Firefox y la otra en Microsoft Windows, como parte de ataques diseñados para abrir la puerta trasera del mismo nombre en los sistemas de las víctimas.

“En un ataque exitoso, si una víctima navega por una página web que contiene el exploit, un adversario puede ejecutar código arbitrario – sin necesidad de interacción del usuario (cero clic) – lo que en este caso llevó a la instalación de la puerta trasera de RomCom en la computadora de la víctima. ” dijo ESET en un informe compartido con The Hacker News.

Las vulnerabilidades en cuestión se enumeran a continuación:

  • CVE-2024-9680 (Puntuación CVSS: 9,8): una vulnerabilidad de uso después de la liberación en el componente Animación de Firefox (parcheado por Mozilla en octubre de 2024)
  • CVE-2024-49039 (Puntuación CVSS: 8,8): una vulnerabilidad de escalada de privilegios en el Programador de tareas de Windows (parcheada por Microsoft en noviembre de 2024)
Ciberseguridad

RomCom, también conocido como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 y Void Rabisu, tiene un historial de realizar operaciones de cibercrimen y espionaje desde al menos 2022.

Estos ataques se destacan por la implementación de RomCom RAT, un malware mantenido activamente que es capaz de ejecutar comandos y descargar módulos adicionales a la máquina de la víctima.

La cadena de ataque descubierta por la empresa eslovaca de ciberseguridad implicaba el uso de un sitio web falso (economistjournal[.]nube) que es responsable de redirigir a las posibles víctimas a un servidor (redjournal[.]nube) que aloja la carga útil maliciosa que, a su vez, une ambas fallas para lograr la ejecución del código y eliminar el RomCom RAT.

Defectos de día cero en Firefox y Windows

Actualmente no se sabe cómo se distribuyen los enlaces al sitio web falso, pero se ha descubierto que el exploit se activa si se visita el sitio desde una versión vulnerable del navegador Firefox.

“Si una víctima que utiliza un navegador vulnerable visita una página web que sirve este exploit, la vulnerabilidad se activa y el código shell se ejecuta en un proceso de contenido“, explicó ESET.

“El código shell se compone de dos partes: la primera recupera la segunda de la memoria y marca las páginas que lo contienen como ejecutables, mientras que la segunda implementa un cargador PE basado en el proyecto de código abierto Shellcode reflexivo DLL Inyección (I+D+i). “

El resultado es un escape de la zona de pruebas para Firefox que, en última instancia, conduce a la descarga y ejecución de RomCom RAT en el sistema comprometido. Esto se logra mediante una biblioteca integrada (“PocLowIL”) que está diseñada para salir del proceso de contenido aislado del navegador al utilizar como arma la falla del Programador de tareas de Windows para obtener privilegios elevados.

Los datos de telemetría recopilados por ESET muestran que la mayoría de las víctimas que visitaron el sitio de alojamiento de exploits se encontraban en Europa y América del Norte.

Ciberseguridad

El hecho de que CVE-2024-49039 también fuera descubierto de forma independiente e informado a Microsoft por el Grupo de análisis de amenazas (TAG) de Google sugiere que más de un actor de amenazas puede haberlo estado explotando como un día cero.

También vale la pena señalar que esta es la segunda vez que se descubre que RomCom explota una vulnerabilidad de día cero en la naturaleza, después del abuso de CVE-2023-36884 a través de Microsoft Word en junio de 2023.

“Encadenar dos vulnerabilidades de día cero armó a RomCom con un exploit que no requiere interacción del usuario”, dijo ESET. “Este nivel de sofisticación muestra la voluntad y los medios del actor de la amenaza para obtener o desarrollar capacidades sigilosas”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Merkel presenta sus memorias, ya en directo
Next: Peter (67) parecía muerto a los ojos durante el secuestro en Brasil: "son animales"

Related Stories

Mientras la Copa del Mundo está en pleno auge, este
  • Tecnología

Mientras la Copa del Mundo está en pleno auge, este proyector Philips NeoPix baja a 139,99 €

teknomers 13 de Temmuz de 2026
No, las ballenas no van a salvar el clima, según
  • Tecnología

No, las ballenas no van a salvar el clima, según un estudio internacional sobre el carbono oceánico

teknomers 13 de Temmuz de 2026
Dos bombas AASM 1000 bajo un solo Rafale, la Marina
  • Tecnología

Dos bombas AASM 1000 bajo un solo Rafale, la Marina francesa logra su temible apuesta

teknomers 13 de Temmuz de 2026

You May Have Missed

  • Deporte

Copa del Mundo 2026: Just Fontaine, el máximo goleador de la Copa del Mundo

teknomers 13 de Temmuz de 2026
  • General

Anaplasmosis: una nueva enfermedad transmitida por garrapatas está en aumento en Canadá y esto es lo que preocupa a los médicos.

teknomers 13 de Temmuz de 2026
  • General

Corea del Sur: huelga nacional parcial de tres días en Hyundai Motors

teknomers 13 de Temmuz de 2026
Equipo de Francia « sin franceses »: Maud Bregeon denuncia
  • Deporte

Equipo de Francia « sin franceses »: Maud Bregeon denuncia « racismo » y comentarios « abyectos »

teknomers 13 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.