Los hackers de Rusia también utilizaron en el ataque una vulnerabilidad en Windows 10 y 11 que no era conocida para instalar en las computadoras de las personas una puerta trasera.
Un grupo de hackers rusos ya se les había descubierto utilizando dos vulnerabilidades hasta ahora desconocidas para atacar a usuarios de Firefox y Tor a través de PC con Windows.
ESET, proveedor de antivirus había especificado los ataques de día cero como una «campaña masiva» enfocada en los usuarios de Europa y América del Norte.
Los hackers de Rusia han dispersado el hack por medio de una página web maliciosa que evidentemente se hace pasar por las organizaciones de noticias falsas. Si un navegador que es vulnerable visita la página, puede secretamente activar las vulnerabilidades del software para instalar en el ordenador de la víctima una puerta trasera. ESET advierte de que no es necesaria la interacción del usuario con la página web.
Aún no está claro cómo los hackers han estado haciendo circular enlaces a las páginas web maliciosas. Pero la primera vulnerabilidad, denominada CVE-2024-9680, puede hacer que Firefox y el navegador Tor ejecuten código informático malicioso en un proceso normalmente restringido.
Los hackers han encadenado el ataque con una segunda vulnerabilidad en Windows 10 y 11, denominada CVE-2024-49039, para ejecutar más código malicioso fuera de los navegadores y sobre el sistema operativo. El resultado descargará e instalará en secreto una puerta trasera capaz de espiar el PC, incluyendo la recopilación de archivos, la toma de capturas de pantalla y el robo de cookies del navegador y contraseñas guardadas.
La buena noticia es que tanto Mozilla como Tor y Microsoft han parcheado los fallos. El navegador Tor está basado en Firefox. Ambos navegadores parchearon la vulnerabilidad al día siguiente de que Mozilla informara privadamente del problema, el 8 de octubre. Por su parte, Microsoft parcheó la otra vulnerabilidad el 12 de noviembre.
Aún así, los hackers pueden seguir explotando el ataque si los usuarios no aplican el parche. Los datos de ESET procedentes de sus productos antivirus muestran que hasta 250 usuarios de determinados países pueden haber sufrido los ataques, que comenzaron en octubre y posiblemente antes.
La empresa vincula los ataques a un grupo de piratas informáticos ruso llamado «RomCom», que se ha centrado tanto en la ciberdelincuencia como en el espionaje. «Esta es al menos la segunda vez que RomCom ha sido sorprendido explotando una vulnerabilidad significativa de día cero en la naturaleza, después del abuso de CVE-2023-36884 a través de Microsoft Word en junio de 2023″, agregó ESET.
