La ciberseguridad sigue siendo un tema candente en España, y no por falta de motivos. Los grupos de élite españoles, que llegan incluso a ayudar al FBI, llegaron a afirmar que nadie estaba a salvo, y potencias enteras como Estados Unidos se enfrentan a oleadas constantes de atacantes. Una firma de ciberseguridad ha descubierto cómo un grupo ruso de hackers están usando vulnerabilidades en Firefox y Chrome para distribuir malware.
La empresa de ciberseguridad ESET ha publicado una completa investigación en la que se evidencia el uso de dos exploits zero day (es decir, errores que han sido explotados desde el primer momento antes de que se implementaran arreglos) por parte de RomCom, un grupo de ciberdelincuentes ligados al gobierno de Putin para llevar a cabo ataques organizados.
Según ESET, RomCom habría usado de forma combinada estos dos errores ubicados en Windows y en el navegador Firefox para crear un fallo de tipo zero clic. Un exploit que permite a los atacantes distribuir software malicioso en equipos objetivos sin necesidad de que el usuario del ordenador tenga que realizar una interacción, según expone The Hacker News.
Dos errores activamente explotados
El informe de ESET cita dos vulnerabilidades concretas: la CVE-2024-9680 y la CVE-2024-49039. La primera es una vulnerabilidad ya arreglada en octubre de 2024 por parte de Mozilla que afecta a su navegador, Firefox. La segunda es una vulnerabilidad de escalada de privilegios centrado en el Programador de tareas de Windows. Este también fue parcheado, esta vez en noviembre de 2024.
El problema es que como decimos, estos son fallos zero day, vulnerabilidades que se han usado de forma activa para realizar ataques hacker antes de que sus desarrolladores pudieran parchearlas. Para que el ataque sea fructífero, tan solo es necesario que la víctima navegue por una página web afectada por el fallo, sin necesidad de interacción alguna del usuario.
Oficinas de Microsoft en Múnich (Alemania).
Así lo explica ESET: "en un ataque exitoso, si la víctima navega por una página web que contiene el exploit, un atacante puede ejecutar código arbitrario, sin necesidad de interacción del usuario. Lo que en este caso conduce a la instalación de la puerta trasera RomCom en el ordenador de la víctima". La cadena de ataque implica el uso de un sitio web falso, que redirige a las víctimas a un servidor que a su vez, alberga software malicioso que une ambos fallos y permite la ejecución del código RomCom RAT.
Si bien se desconoce por completo la forma en la que RomCom distribuye los enlaces a estas webs falsas, se sabe que el exploit se activa si la víctima accede a la página en cuestión desde una versión de Firefox anterior al parche emitido por Mozilla. En ese caso, "la vulnerabilidad se activa y el shellcode se ejecuta en un proceso de contenido", expone ESET. De esta forma, y gracias a la puerta trasera, los atacantes pueden acceder de forma amplia a la máquina de la víctima.
RomCom RAT a su vez es un malware que puede ejecutar comandos y descargar módulos adicionales en la máquina afectada, y que ha sido activamente usado en otros ataques por parte de RomCom. Recordemos que este no es un grupo de hackers poco conocido; sin ir más lejos, se ha vinculado recientemente a RomCom con el ataque de ransomware que Casio sufrió hace pocas semanas.
El alcance total del problema, que habría generado una campaña generalizada de ataques, está por determinar. Sin embargo, ESET explica en su blog que las zonas más afectadas incluirían Europa y Norteamérica entre el 10 de octubre hasta el 4 de noviembre. "La cantidad de objetivos potenciales varía desde una sola víctima por país hasta 250", apostilla la empresa.
Es importante resaltar que tanto Mozilla como Microsoft solucionaron las fallas de Firefox y Windows respectivamente. En el caso de Microsoft, fueron los investigadores de seguridad del Grupo de Análisis de Amenazas de Google los que alertaron del error a los de Redmond, dando a entender que este exploit habría sido usado en campañas de ataques mediante grupos organizados gubernamentales. El fallo fue arreglado por parte de Microsoft el pasado 12 de noviembre.