Il gruppo russo RomCom ha sfruttato una vulnerabilità zero-day di Firefox per installare una backdoor. L’accesso remoto ai sistemi informatici è stato ottenuto tramite la combinazione con una vulnerabilità zero-day di Windows. Lo scopo dei cybercriminali russi è raccogliere informazioni dai computer di aziende e organizzazioni occidentali (cyberspionaggio). Mozilla e Microsoft hanno già rilasciato le patch.
Catena di vulnerabilità zero-day
L’attacco inizia quando l’ignara vittima usa Firefox per visitare un sito fake controllato dai cybercriminali. L’utente viene portato automaticamente su un altro sito che installa ed esegue la backdoor sul computer, senza nessuna interazione da parte dell’utente.
Il gruppo russo ha sfruttato la vulnerabilità zero-day CVE-2024-9680 presente nelle versioni di Firefox precedenti alla 131.0.2. Si tratta di un bug “user-after-free” che permette di aggirare la sandbox del browser. Mozilla ha rilasciato la patch con Firefox 131.0.2 il 9 ottobre (dopo appena 25 ore dalla segnalazione ricevuta da ESET).
Per l’esecuzione del malware all’esterno della sandbox di Firefox è stata sfruttata la vulnerabilità zero-day CVE-2024-49039 presente nel Task Scheduler di Windows 10 e 11 che permette di ottenere i privilegi elevati. Microsoft ha rilasciato la patch il 12 novembre (segnalata da Mozilla e dal Threat Analysis Group di Google).
La backdoor permette di mantenere l’accesso remoto al computer e quindi di eseguire numerose attività, tra cui esecuzione di comandi, download di altri malware e furto di dati sensibili. In base alla telemetria di ESET, le vittime sono piuttosto numerose e presenti in diversi paesi, Italia inclusa.
Ti potrebbe interessare
27 nov 2024