El actor de amenazas alineado con Rusia conocido como RomCom <\/b>se ha relacionado con la explotaci\u00f3n de d\u00eda cero de dos fallas de seguridad, una en Mozilla Firefox y la otra en Microsoft Windows, como parte de ataques dise\u00f1ados para abrir la puerta trasera del mismo nombre en los sistemas de las v\u00edctimas.<\/p>\n
“En un ataque exitoso, si una v\u00edctima navega por una p\u00e1gina web que contiene el exploit, un adversario puede ejecutar c\u00f3digo arbitrario \u2013 sin necesidad de interacci\u00f3n del usuario (cero clic) \u2013 lo que en este caso llev\u00f3 a la instalaci\u00f3n de la puerta trasera de RomCom en la computadora de la v\u00edctima. ” dijo ESET en un informe<\/a> compartido con The Hacker News.<\/p>\n Las vulnerabilidades en cuesti\u00f3n se enumeran a continuaci\u00f3n:<\/p>\n RomCom, tambi\u00e9n conocido como Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 y Void Rabisu, tiene un historial de realizar operaciones de cibercrimen y espionaje desde al menos 2022.<\/p>\n Estos ataques se destacan por la implementaci\u00f3n de RomCom RAT, un malware mantenido activamente que es capaz de ejecutar comandos y descargar m\u00f3dulos adicionales a la m\u00e1quina de la v\u00edctima.<\/p>\n La cadena de ataque descubierta por la empresa eslovaca de ciberseguridad implicaba el uso de un sitio web falso (economistjournal[.]nube) que es responsable de redirigir a las posibles v\u00edctimas a un servidor (redjournal[.]nube) que aloja la carga \u00fatil maliciosa que, a su vez, une ambas fallas para lograr la ejecuci\u00f3n del c\u00f3digo y eliminar el RomCom RAT.<\/p>\n Actualmente no se sabe c\u00f3mo se distribuyen los enlaces al sitio web falso, pero se ha descubierto que el exploit se activa si se visita el sitio desde una versi\u00f3n vulnerable del navegador Firefox.<\/p>\n “Si una v\u00edctima que utiliza un navegador vulnerable visita una p\u00e1gina web que sirve este exploit, la vulnerabilidad se activa y el c\u00f3digo shell se ejecuta en un proceso de contenido<\/a>“, explic\u00f3 ESET.<\/p>\n “El c\u00f3digo shell se compone de dos partes: la primera recupera la segunda de la memoria y marca las p\u00e1ginas que lo contienen como ejecutables, mientras que la segunda implementa un cargador PE basado en el proyecto de c\u00f3digo abierto Shellcode reflexivo DLL Inyecci\u00f3n (I+D+i<\/a>). “<\/p>\n El resultado es un escape de la zona de pruebas para Firefox que, en \u00faltima instancia, conduce a la descarga y ejecuci\u00f3n de RomCom RAT en el sistema comprometido. Esto se logra mediante una biblioteca integrada (“PocLowIL”) que est\u00e1 dise\u00f1ada para salir del proceso de contenido aislado del navegador al utilizar como arma la falla del Programador de tareas de Windows para obtener privilegios elevados.<\/p>\n Los datos de telemetr\u00eda recopilados por ESET muestran que la mayor\u00eda de las v\u00edctimas que visitaron el sitio de alojamiento de exploits se encontraban en Europa y Am\u00e9rica del Norte.<\/p>\n\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/RomCom-explota-las-fallas-de-dia-cero-de-Firefox-y.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n