Negli ultimi sviluppi nel campo della sicurezza informatica, un gruppo di cybercriminali noto come RomCom ha sfruttato vulnerabilità zero-day nei sistemi operativi Mozilla Firefox e Microsoft Windows per eseguire attacchi sofisticati. Questi attacchi mirano a installare un malware noto come RomCom RAT nei sistemi infetti, permettendo agli aggressori di eseguire comandi e scaricare moduli aggiuntivi.

Dettagli delle Vulnerabilità

Le vulnerabilità sfruttate sono state identificate come CVE-2024-9680, una vulnerabilità di tipo use-after-free nel componente animazione di Firefox, e CVE-2024-49039, una vulnerabilità di escalation dei privilegi nel Task Scheduler di Windows. Entrambe sono state recentemente corrette da Mozilla e Microsoft rispettivamente.

Gli attacchi di RomCom utilizzano siti web falsi per reindirizzare le vittime a server malevoli che ospitano il payload dannoso. In particolare, il sito economistjournal.cloud è stato utilizzato per attirare le vittime verso un server che sfrutta le vulnerabilità per eseguire codice dannoso e installare il backdoor RomCom RAT.

Caratteristiche degli Attacchi

Una caratteristica notevole di questi attacchi è l'uso di exploit che non richiedono alcuna interazione da parte dell'utente, il che li rende particolarmente pericolosi. Basta che una vittima visiti una pagina web compromessa con una versione vulnerabile di Firefox per attivare l'exploit e compromettere il sistema.

Dati e Analisi

I dati di telemetria raccolti mostrano che la maggior parte delle vittime di questi attacchi si trovano in Europa e Nord America. Questo suggerisce una campagna mirata verso queste regioni, sebbene non sia chiaro come i link ai siti falsi vengano distribuiti.

È interessante notare che la vulnerabilità CVE-2024-49039 è stata scoperta indipendentemente anche dal Threat Analysis Group di Google, il che indica che più di un attore di minaccia potrebbe averla sfruttata come zero-day.

Storia e Consigli

Questa non è la prima volta che RomCom utilizza vulnerabilità zero-day. In passato hanno sfruttato una vulnerabilità simile in Microsoft Word, evidenziando il loro continuo impegno nello sviluppo di capacità di attacco avanzate.

Gli esperti consigliano di mantenere sempre aggiornati i software per proteggersi contro queste minacce. Gli utenti dovrebbero assicurarsi di applicare le patch più recenti rilasciate dai fornitori per mitigare i rischi associati a queste vulnerabilità.