Pesquisadores de segurança da ESET, especializada em cibersegurança, identificaram duas vulnerabilidades de dia zero sendo exploradas ativamente pelo grupo de hackers RomCom, conhecido por suas ligações com o governo russo.
O RomCom utiliza essas brechas para implantar malware sofisticado sem qualquer interação do usuário e os ataques têm como alvos principais usuários do navegador Firefox e dispositivos Windows na Europa e América do Norte.
O grupo, já envolvido em ataques cibernéticos anteriores, como o ransomware contra a gigante japonesa Casio, mantém um histórico de ações agressivas contra organizações alinhadas à Ucrânia, algo que ocorre também com outros grupos hackers ligados ao governo russo.
As vulnerabilidades recém-descobertas permitiram ao RomCom desenvolver um exploit de “clique zero”, que possibilita a instalação remota de malware em dispositivos apenas ao visitar sites controlados pelos hackers.
Firefox e Windows já corrigiram falha exploradas pelo RomCom
O exploit de “clique zero” funciona de maneira altamente furtiva e explora falhas no Firefox e no sistema Windows para instalar o backdoor homônimo do grupo no dispositivo da vítima.
Após a instalação, os hackers obtêm acesso total ao computador, podendo roubar informações ou controlar o dispositivo remotamente.
Na publicação, Damien Schaeffer e Romain Dumont, pesquisadores da ESET, disseram que essa campanha revelou um nível avançado de sofisticação nas táticas do RomCom.
Os ataques atingiram um número variado de vítimas, de um único alvo em alguns países a até 250 em regiões mais amplas, com a maioria dos afetados se concentrando na Europa e na América do Norte.
Apesar do impacto significativo, a rápida resposta da Mozilla e da Microsoft ajudou a mitigar os riscos.
A Mozilla lançou uma correção para a vulnerabilidade no Firefox em 9 de outubro, logo após ser alertada pela ESET.
O Tor Project, que utiliza a base de código do Firefox, também corrigiu a falha, embora não existam evidências de que o Tor Browser tenha sido explorado nesta campanha.
Já a Microsoft solucionou a brecha no Windows em 12 de novembro, após a descoberta do problema pelo Grupo de Análise de Ameaças do Google.
