I ricercatori di sicurezza informatica dell’azienda slovacca ESET hanno scoperto due vulnerabilità 0-day (precedentemente sconosciute) in Mozilla Firefox e nei prodotti Windows. In un rapporto pubblicato il 26 novembre si spiega che queste due falle, combinate sotto forma di exploit 0-click (senza interazione da parte dell’utente), hanno consentito agli hacker russi di prendere di mira diverse centinaia di dispositivi in Europa e Nord America.
Una semplice visita al sito Web per distribuire il malware
Il primo difetto rilevato da ESET, denominato CVE-2024-9680, presenta un punteggio di gravità critico (CVSS a 9,8). Si tratta di un bug di usabilità nella funzione timeline di animazione di Mozilla Firefox, che consente l’esecuzione di codice dannoso nella sandbox del browser. Il secondo, con un punteggio di gravità pari a 8,8, è correlato a un errore di escalation dei privilegi nella funzionalità Utilità di pianificazione di Windows. Offre agli hacker la possibilità di eseguire codice dannoso direttamente nell’ambiente dell’utente.
Il gruppo di hacker RomCom ha combinato queste due vulnerabilità per creare un exploit 0-click. È bastato che i suoi obiettivi visitassero un sito Web dannoso per scaricare ed eseguire una backdoor. Il malware così distribuito ha consentito ai criminali informatici di eseguire comandi da remoto ma anche di fornire nuovi payload dannosi. “Anche se non sappiamo come viene distribuito il collegamento al sito web falso, se la pagina viene raggiunta utilizzando un browser vulnerabile, un payload viene rilasciato ed eseguito sul computer della vittima”nota ESET.
La Francia sarebbe il secondo paese più colpito
Da allora i difetti 0-day sono stati corretti da Mozilla il 9 ottobre e da Microsoft il 12 novembre. Secondo la telemetria effettuata dalla società di sicurezza informatica, il numero di potenziali obiettivi (che hanno visitato siti Web che ospitano il malware) varia da 1 a 250, in Europa, Nord America e Nuova Zelanda. Senza conoscere il numero esatto, la Francia è al secondo posto tra gli Stati più colpiti (vedi immagine sotto), dietro alla Repubblica Ceca e davanti alla Germania.
Conosciuto anche come Storm-0978 e “Tropical Scorpius”, il gruppo di hacker RomCom prende di mira principalmente organizzazioni governative e di difesa per scopi di spionaggio. Alcune delle sue attività sono legate anche ad operazioni di ransomware e furto di credenziali nell’ambito di campagne di intelligence. Nel luglio 2023, RomCom aveva già sfruttato una falla 0-day in diversi prodotti Microsoft Windows e Office, prendendo di mira le organizzazioni partecipanti al vertice NATO di Vilnius (Lituania).
Selezionato per te
