Un grupo de hackers rusos se aprovechó de una vulnerabilidad en Firefox para lanzar un ataque dirigido a múltiples objetivos de Europa y Estados Unidos. Los piratas informáticos explotaron vulnerabilidades de día cero en diversas aplicaciones de Mozilla para infectar ordenadores con un backdoor. Para conseguirlo, redireccionaban a sus víctimas a una web maliciosa que activaba un exploit que no requiere la interacción del usuario (zero-clic).
De acuerdo con una investigación de la firma de seguridad ESET, un grupo de hackers ligado al Kremlin lanzó ciberataques contra diversos blancos de España, Francia, Alemania y otros países. Conocido como RomCom, el grupo explotó dos vulnerabilidades de día cero en Firefox y Windows para instalar un backdoor que permitiría efectuar tareas de espionaje en los ordenadores de la víctima. Los hackers aprovecharon las vulnerabilidades durante 10 meses antes de que Mozilla lanzara un parche que mitigaba el problema.
Según los investigadores de ESET, RomCom enlazó las vulnerabilidades CVE-2024-9680 y CVE-2024-49039 para instalar una puerta trasera. La primera de ellas afecta a versiones de Firefox y Thunderbird, permitiendo ejecutar código en el contexto restringido del navegador, mientras que la segunda garantiza la ejecución del código arbitrario en el contexto del usuario registrado de Windows.
Para llevar a cabo el ataque, los hackers crearon webs apócrifas de empresas que ofrecían soluciones de acceso remoto, gestión de TI o redacción independiente. Si la víctima navegaba con una versión vulnerable de Firefox, el exploit descargaba y ejecutaba el backdoor de RomCom en el ordenador. Debido a que se trata de una vulnerabilidad zero-clic, el exploit no requería la interacción del usuario.
- CHECALO -
España y México, en la lista de víctimas de los hackers
Los expertos en seguridad publicaron un mapa que muestra los países en los que se aprovechó esta vulnerabilidad. La ilustración contiene países como Francia, Alemania, Estados Unidos, Canadá, República Checa y Polonia, así como también España y México. ESET menciona que el número de objetivos potenciales va de una sola víctima por país hasta 250. La telemetría indica que Francia, Alemania y República Checa registraron más incidentes, seguidos de España, Estados Unidos e Italia.
Como ocurre en otros casos, los investigadores alertaron a Mozilla sobre los exploits el 8 de octubre y la empresa lanzó una actualización al día siguiente para Firefox y Thunderbird. Por otro lado, Microsoft parcheó la vulnerabilidad en el programador de tareas de Windows el 12 de noviembre.
RomCom es un grupo de hackers alineado con Rusia, el cual ha llevado operaciones de ciberespionaje contra objetivos comerciales y de gobierno. También conocido como Storm-0978, Tropical Scorpius o UNC2596, RomCom ha sido clave en las operaciones de la guerra de Ucrania. Una de sus víctimas más recientes es Casio, contra quien lanzaron un ataque de ransomware a comienzos de octubre que filtró información confidencial y daros de los empleados y sus socios.
El descubrimiento llega a unos cuantos días que se diera a conocer un ciberataque en cadena ejecutado por el grupo ATP28. Al igual que RomCom, los hackers del colectivo ruso apuntaron hacia blancos relacionados con Ucrania para obtener información clave, aunque lo hicieron utilizando una técnica nunca antes vista.
DERECHOS DE AUTOR
Esta información pertenece a su autor original y fue recopilada del sitio https://hipertextual.com/2024/11/hackers-rusos-ciberataque-espana-mexico-vulnerabilidad-firefox
