Combo exploit zero-day Windows e Firefox sfruttato per diffondere backdoor

Il gruppo di cybercriminali russi noto come RomCom ha sfruttato una doppia vulnerabilità combinata per distribuire backdoor.

Nello specifico, parliamo dell’exploit noto come CVE-2024-9680 (relativo a Firefox) e CVE-2024-49039, una vulnerabilità nel contesto della gestione dei privilegi di Windows individuata all’inizio dell’anno.

Secondo i ricercatori di ESET, che hanno scoperto questa campagna, i due exploit venivano concatenati per colpire i dispositivi senza alcun tipo di intervento da parte dell’utente. Le ricostruzioni dimostrano come la prima falla consentisse agli aggressori di accedere al suddetto browser e, la seconda vulnerabilità, permettesse di espandere il proprio raggio d’azione al di fuori di Firefox.

Stando a quanto sostenuto da Damien Schaeffer, il ricercatore che ha scoperto entrambi gli exploit, il processo di infezione inizia attraverso un sito Web malevolo. Una volta ottenuto accesso, attraverso la backdoor, i cybercriminali possono eseguire comandi e installare moduli aggiuntivi.

Doppio exploit zero-day: Microsoft e Mozilla corrono ai ripari con patch correttive in tempi record

I dati raccolti sinora identificano una finestra di attività di RomCom che va dal 10 ottobre al 4 novembre 2024, frangente in cui vi sarebbero state diverse potenziali vittime nel contesto di Europa e Nord America.

Schaeffer ha scoperto la vulnerabilità di Firefox l’8 ottobre e l’ha immediatamente segnalata a Mozilla, che ha distribuito la patch correttiva in poco più di 24 ore. Anche Microsoft ha rilasciato un aggiornamento per correggere l’exploit del proprio sistema operativo il 12 novembre.

Il grupppo RomCom, noto anche come Storm-0978, Tropical Scorpius o UNC2596, è un collettivo considerato dagli esperti del settore vicino al governo russo, che tende a prendere di mira aziende o a impegnarsi in operazioni di spionaggio. Per evitare attacchi zero-click di questo tipo, dove l’utente è vittima incolpevole, è essenziale la prevenzione. Mantenere aggiornati browser e sistema operativo, è di certo un’ottima pratica, soprattutto se abbinata all’utilizzo di un antivirus di alto livello.