Recientemente, el grupo de actores de amenazas RomCom ha utilizado dos vulnerabilidades de día cero en sus campañas de malware. Aunque ya existen parches para corregir estas fallas, los usuarios deben actualizar sus sistemas con urgencia. De lo contrario, corren el riesgo de ser atacados.
RomCom y sus nuevas tácticas de ataque
Según un informe reciente de ESET, el grupo de cibercriminales RomCom ha reanudado sus actividades, enfocándose en usuarios de Windows. Este grupo tiene vínculos presuntamente rusos y se especializa en ataques con fines financieros, además de espionaje cibernético.
En sus ataques más recientes, RomCom ha explotado dos vulnerabilidades críticas para implementar malware en sistemas seleccionados. Estas son las vulnerabilidades identificadas:
- CVE-2024-9680 (crítica; CVSS 9.8): Se trata de una vulnerabilidad “use-after-free” en las líneas de tiempo de animación que afecta productos de Mozilla. Afecta a navegadores como Firefox y Tor, así como al cliente de correo Thunderbird. La empresa publicó un parche en las versiones recientes de estos programas.
- CVE-2024-49039 (importante; CVSS 8.8): Esta vulnerabilidad permite la elevación de privilegios en el Programador de tareas de Windows. Un atacante puede ejecutar aplicaciones maliciosas que aprovechan esta falla. Microsoft ha abordado este problema en las actualizaciones de noviembre de 2024.
Los cibercriminales operan con discreción
El grupo RomCom, conocido también como Storm-0978 o Tropical Scorpius, realiza sus ataques de manera encubierta. Durante las campañas recientes, lograron atraer a usuarios hacia páginas web de phishing, donde se descargó el malware sin su conocimiento.
Una vez que un usuario accede a una de estas páginas, se activa la vulnerabilidad, permitiendo la ejecución de código malicioso. Esto resulta en la instalación del RAT de RomCom en el dispositivo afectado.
¿Quiénes son los objetivos de RomCom?
Los ataques de RomCom han estado dirigidos principalmente a usuarios en América del Norte y Europa. Interesantemente, los atacantes han mantenido un perfil bajo, atacando entre 1 a 250 usuarios por país.
A pesar de que las vulnerabilidades han sido corregidas, aún hay sistemas en riesgo. Por lo tanto, es crucial que los usuarios actualicen sus sistemas de inmediato para evitar ser víctimas de estos ataques.
¿Qué opinas sobre estas amenazas recientes? Comparte tus pensamientos en los comentarios.
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.