Aviso sobre amenazas de ciberseguridad:

Aviso sobre amenazas de ciberseguridad:

RomCom Ataca a Mozilla y Windows

Se ha revelado que un atacante conocido como RomCom ha estado explotando dos vulnerabilidades de día cero, presente en Mozilla Firefox y otra en Microsoft Windows, para implementar su malware de puerta trasera patentado. Estas vulnerabilidades, CVE-2024-9680 y CVE-2024-49039, ha sido el objetivo activo de ataques en Europa y América del Norte.

¿Cuál es la amenaza?

La campaña RomCom explota dos vulnerabilidades de día cero en un ataque de varias etapas. El proceso comienza con la vulnerabilidad del componente Animación de Mozilla Firefox, CVE-2024-9680. Esta falla permite a los atacantes ejecutar código arbitrario dentro del Sandbox del navegador. El xploit se activa cuando un usuario visita un sitio web creado con fines malintencionados, a menudo distribuido a través de campañas de phishing o ataques de abrevadero. Esta etapa inicial proporciona al atacante un punto de apoyo dentro del sistema de la víctima, aunque limitado a los permisos del navegador y el entorno Sandbox.

La segunda etapa involucra CVE-2024-49039, una vulnerabilidad de escalada de privilegios en el programador de tareas de Windows. Después de obtener un punto de apoyo inicial dentro del sistema de la víctima, el atacante explota CVE-2024-49039 para escapar del sandbox del navegador y escalar a un mayor privilegio en el sistema de destino. Esta escalada permite la ejecución de una puerta trasera RomCom, una carga útil maliciosa que establece un punto de acceso remoto persistente. La puerta trasera esta diseñada para exfiltrar datos confidenciales, ejecutar comandos arbitrarios y descargar Malware adicional, lo que otorga a los atacantes control total sobre la maquina comprometida.

Cuando se combinan, estas vulnerabilidades forman una cadena de ataque altamente efectiva que permite al atacante pasar el acceso no autorizado al compromiso total del sistema con facilidad. Esto hace que el CSA sea un objetivo ideal para los actores de los estados-nación, ya que comprometerlo proporciona acceso no solo al CSA en sí, sino también a la infraestructura mas amplia que administra. Dicho acceso puede permitir campañas de espionaje o interrupción a largo plazo.

¿Por qué es de relevancia?

La combinación de dos vulnerabilidades de día cero permiten explotarlas sin necesidad de hacer clic y sin interacción del usuario. El hecho de que los atacantes hayan aprovechado rápidamente estas fallas antes de que estuvieran disponibles los parches de seguridad ponen en relieve sus capacidades avanzadas y su intención de desarrollar métodos de ataques sigilosos. Además, la naturaleza generalizada de la campaña, dirigida a usuarios de toda Europa y América del Norte, subraya el amplio riesgo que plantean estas amenazas sofisticadas.

¿Cuál es el riesgo?

Las organizaciones que utilizan versiones de Firefox y Windows sin parches corren un alto riesgo de verse comprometidas. Una explotación exitosa puede dar lugar a acceso no autorizado, exfiltración de datos y posible implementación de Malware adicional. La capacidad de la puerta trasera RomCom de ejecutar comandos y descargar más cargas útiles plantea una amenaza importante para la confidencialidad, integridad y disponibilidad de los datos y sistemas de la organización.

Recomendaciones

Se recomienda que las organizaciones tomen medidas para reducir el riesgo de explotación y proteger su infraestructura critica:

  • Actualice los sistemas con los últimos parches de seguridad de Mozilla y Microsoft.
  • Limite los derechos administrativos solo a aquellos usuarios y procesos que los requieran.
  • Separe los activos críticos de la red y restrinja el acceso mediante la segmentación de red para evitar el movimiento lateral en caso de vulneración.
  • Configure Firefox para bloquear JavaScript de forma predeterminada en sitios web no confiables. Esto puede reducir la probabilidad de distribución de xploits a través de sitios web maliciosos.
  • Supervise la creación o modificación inesperada de tareas, ya que esto podría indicar intentos de explotación.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

JR

Regresar al blog

Deja un comentario

Ten en cuenta que los comentarios deben aprobarse antes de que se publiquen.