Um grupo de hackers associado à Rússia, conhecido como RomCom, está utilizando vulnerabilidades desconhecidas para realizar ataques cibernéticos em sistemas operacionais Windows e no navegador Firefox. Essas falhas, classificada como “exploits de dia zero”, permitiram ao grupo comprometer dispositivos de usuários na Europa e América do Norte.
O RomCom foi destacado em um relatório do TechCrunch como um grupo ativo em ataques cibernéticos em favor do governo russo. Recentemente, o grupo foi relacionado a um ataque de ransomware contra a Casio e tem demonstrado interesse em atingir organizações ligadas à Ucrânia desde a invasão russa em 2022.
Detalhes sobre a exploração das vulnerabilidades
A técnica empregada pelos hackers, denominada “exploração de clique zero”, permite a infecção remota de dispositivos sem a necessidade de interação do usuário. Isso é feito através da criação de websites maliciosos que exploram essas vulnerabilidades e instalam automaticamente backdoors nos sistemas-alvo.
Após a instalação do backdoor, os invasores conseguem obter controle total dos dispositivos comprometidos, possibilitando o roubo de dados sensíveis, a implantação de ransomware e a realização de novos ataques. Pesquisadores de segurança da ESET, que identificaram essas ameaças, emitiram alertas sobre a crescente sofisticação de ataques de grupos de hackers apoiados pelo Estado.
Impacto e resposta das empresas
Embora as vulnerabilidades tenham sido corrigidas, é aconselhável que todos os usuários mantenham seus softwares atualizados e exerçam cautela ao navegar na internet. A Mozilla lançou uma atualização para o Firefox em 9 de outubro, um dia após a detecção da vulnerabilidade. A Microsoft seguiu com uma correção em 12 de novembro, após receber a notificação do grupo de pesquisa de segurança do Grupo de Análise de Ameaças do Google.
Além disso, o Tor Project, responsável pelo desenvolvimento do navegador Tor, também aplicou as correções necessárias nas vulnerabilidades, uma vez que seu software é baseado no código do Firefox. Os pesquisadores da ESET não encontraram, até o momento, evidências de que o Tor tenha sido alvo direto desses ataques.
