Découvrez comment RomCom exploite les failles de Mozilla Firefox et Windows
Les récentes attaques du groupe de cybercriminels RomCom ont mis en lumière l’exploitation de deux failles de sécurité zero-day présentes dans Mozilla Firefox et Windows. Analysons ensemble cette menace et ses implications.
Les vulnérabilités exploitées par RomCom
La première faille de sécurité exploitée par les pirates est associée à la référence CVE-2024-9680. Cette faiblesse de type “use-after-free” dans Mozilla Firefox permet à l’attaquant d’exécuter du code dans la sandbox du navigateur. Mozilla a corrigé cette vulnérabilité le 9 octobre 2024, après son exploitation par les cybercriminels.
La deuxième faille exploitée par RomCom se situe dans le Planificateur de tâches de Windows, référencée CVE-2024-49039. En exploitant cette vulnérabilité, l’attaquant peut exécuter du code en dehors de la sandbox de Mozilla Firefox, renforçant ainsi l’efficacité de ses attaques. Microsoft a corrigé cette zero-day le 12 novembre dernier, lors du Patch Tuesday de novembre 2024.
Les attaques du groupe RomCom
Lors de ses récentes attaques, RomCom a visé les utilisateurs de Mozilla Firefox et de Tor Browser en Europe et en Amérique du Nord. En exploitant les deux vulnérabilités zero-day, les cybercriminels ont pu exécuter du code à distance sans interaction de l’utilisateur, simplement en redirigeant leurs cibles vers un site web malveillant.
Une fois la machine infectée, l’attaquant peut prendre le contrôle à distance et déployer d’autres charges malveillantes. Selon les données d’ESET, le nombre de cibles potentielles varie d’une par pays à 250, avec la France parmi les pays les plus touchés.
En parallèle, RomCom mène des campagnes d’espionnage ciblant des organisations en Ukraine, en Europe et en Amérique du Nord, notamment dans les secteurs de la défense, de l’énergie, des produits pharmaceutiques et de l’assurance.
Source : www.it-connect.fr
