Investigadores de ciberseguridad de la empresa eslovaca ESET han descubierto dos vulnerabilidades de día 0 (hasta ahora desconocidas) en productos Mozilla Firefox y Windows. En un informe publicado el 26 de noviembre, explican que estos dos fallos, combinados en forma de un exploit de 0 clics (sin interacción del usuario), permitieron a los piratas informáticos rusos atacar varios cientos de dispositivos en Europa y América del Norte.
Una simple visita al sitio web para implementar el malware
La primera falla detectada por ESET, titulada CVE-2024-9680, presenta una puntuación de gravedad crítica (CVSS de 9,8). Este es un error de usabilidad en la función de línea de tiempo de animación de Mozilla Firefox, que permite que se ejecute código malicioso en la zona de pruebas del navegador. El segundo, con una puntuación de gravedad de 8,8, está relacionado con un error de escalada de privilegios en la funcionalidad del Programador de tareas de Windows. Brinda a los piratas informáticos la capacidad de ejecutar código malicioso directamente en el entorno del usuario.
El grupo de hackers RomCom combinó estas dos vulnerabilidades para crear un exploit sin clic. Todo lo que hacía falta era que sus objetivos visitaran un sitio web malicioso para descargar y ejecutar una puerta trasera. El malware así implementado permitió a los ciberdelincuentes ejecutar comandos de forma remota, pero también entregar nuevas cargas maliciosas. “Aunque no sabemos cómo se distribuye el enlace al sitio web falso, si se accede a la página utilizando un navegador vulnerable, se suelta una carga útil y se ejecuta en la computadora de la víctima”.tenga en cuenta ESET.
Francia sería el segundo país más afectado
Desde entonces, Mozilla solucionó los fallos de día 0 el 9 de octubre y Microsoft el 12 de noviembre. Según la telemetría realizada por la empresa de ciberseguridad, el número de objetivos potenciales (que visitaron sitios web que alojan el malware) oscila entre 1 y 250, en Europa, América del Norte y Nueva Zelanda. Sin conocer la cifra exacta, Francia ocupa el segundo lugar entre los estados más afectados (ver imagen a continuación), detrás de la República Checa y por delante de Alemania.
También conocido como Storm-0978 y “Tropical Scorpius”, el grupo de hackers RomCom se dirige principalmente a organizaciones gubernamentales y de defensa con fines de espionaje. Algunas de sus actividades también están vinculadas a operaciones de ransomware y robo de credenciales como parte de campañas de inteligencia. En julio de 2023, RomCom ya había explotado un fallo de día 0 en varios productos de Microsoft Windows y Office, dirigido a organizaciones que participaban en la cumbre de la OTAN en Vilna (Lituania).
Seleccionado para ti