Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Zero Click Backdoor RomCom Menyebar di Firefox dan Tor
  • Teknologi

Zero Click Backdoor RomCom Menyebar di Firefox dan Tor

3 min read
Zero Click Backdoor RomCom Menyebar di Firefox dan Tor

image credit: Pixabay.com

Kembali kita dikejutkan oleh serangan zero click backdoor RomCom menyebar di Firefox dan Tor. Seperti apa serangan ini terjadi, berikut pemaparannya.

Selama kurun waktu singkat di bulan Oktober, peretas Rusia memiliki kemampuan untuk meluncurkan kode arbitrer terhadap siapa pun di dunia yang menggunakan Firefox atau Tor.

Pada tanggal 8 Oktober, peneliti dari ESET pertama kali menemukan file berbahaya di server yang dikelola oleh Advanced Persistent Threat (APT) Rusia RomCom (alias Storm-0978, Tropical Scorpius, UNC2596). File tersebut telah online hanya lima hari sebelumnya, pada tanggal 3 Oktober.

Analisis menunjukkan bahwa mereka memanfaatkan dua kerentanan zero-day: satu memengaruhi perangkat lunak Mozilla, yang lainnya Windows. Hasilnya: eksploitasi yang menyebarkan backdoor RomCom kepada siapa pun yang mengunjungi situs web yang terinfeksi, tanpa perlu mengklik apa pun.

Untungnya, kedua masalah tersebut segera diatasi. “Para penyerang hanya memiliki waktu yang sangat singkat untuk mencoba membahayakan komputer,” jelas Romain Dumont, peneliti malware di ESET. “Ya, memang ada kerentanan zero-day. Namun, kerentanan itu tetap saja ditambal dengan sangat cepat.”

Baca juga: Malware Zero Click Pencuri Data Clouds

Zero-Day di Firefox & Tor

Kerentanan pertama dari dua kerentanan, CVE-2024-9680, merupakan peluang penggunaan setelah bebas dalam linimasa animasi Firefox, mekanisme peramban yang menangani cara animasi dimainkan berdasarkan interaksi pengguna dengan situs web.

Kemampuannya untuk memberi penyerang eksekusi perintah yang sewenang-wenang membuatnya memperoleh peringkat “kritis” 9,8 dari Common Vulnerability Scoring System (CVSS).

Yang terpenting, CVE-2024-9680 memengaruhi lebih dari sekadar Firefox. Klien email open source Mozilla “Thunderbird” juga terdampak.

Seperti halnya peramban Tor yang sangat rahasia, yang dibuat dari versi modifikasi peramban Extended Support Release (ESR) Firefox.

Pada bulan Oktober, RomCom menyebarkan situs web yang dibuat khusus yang akan langsung memicu CVE-2024-9680 tanpa memerlukan interaksi korban apa pun. Korban tanpa sadar akan mengunduh backdoor RomCom dari server yang dikendalikan RomCom, lalu dengan cepat dialihkan ke situs web asli yang mereka kira telah mereka kunjungi selama ini.

Domain jahat ini dibuat untuk meniru situs asli yang terkait dengan platform layanan TI ConnectWise dan Devolutions, dan Correctiv, ruang berita nirlaba untuk jurnalisme investigasi di Jerman.

Bahwa organisasi-organisasi ini bersifat politis dan ekonomis mungkin tidak mengejutkan mereka yang mengenal RomCom, yang selalu melakukan kejahatan dunia maya oportunistik, tetapi belakangan ini telah menambahkan spionase bermotif politik ke dalam agendanya.

Aktivitasnya pada tahun 2024 mencakup kampanye melawan sektor asuransi dan farmasi di AS, tetapi juga sektor pertahanan, energi, dan pemerintah di Ukraina.

Tidak jelas dengan cara social engineering apa RomCom mungkin telah menyebarkan situs-situs jahat ini.

Baca juga: 3 Definisi Zero Day

Tentang Operasi RomCom

Tidak puas hanya dengan menjalankan kode di peramban korban, RomCom juga menggunakan kerentanan kedua, CVE-2024-49039. Bug dengan tingkat keparahan tinggi 8.8 CVSS pada Windows Task Scheduler.

Ini memungkinkan peningkatan hak istimewa, berkat endpoint panggilan prosedur jarak jauh (RPC) yang tidak terdokumentasi yang tidak sengaja dapat diakses oleh pengguna tingkat rendah. Dalam kasus ini, RomCom menggunakan CVE-2024-49039 untuk keluar dari sandbox peramban dan masuk ke komputer korban secara umum.

Kerusakan yang mungkin terjadi dengan rantai eksploitasi yang begitu kuat, dan siapa saja yang terkena dampaknya bulan lalu, masih belum diketahui. Yang jelas saat ini adalah bahwa sebagian besar target berada di Amerika Utara dan Eropa, khususnya Republik Ceko, Prancis, Jerman, Polandia, Spanyol, Italia, dan AS ditambah korban yang tersebar di Selandia Baru dan Guyana Prancis.

Catatan RomCom

Selain itu, perlu dicatat, tidak ada korban yang dilacak oleh ESET yang disusupi melalui Tor. “Tor memiliki beberapa pengaturan yang telah ditetapkan sebelumnya yang berbeda dari Firefox, jadi mungkin itu tidak akan berhasil,” Damien Schaeffer, peneliti malware senior di ESET berspekulasi.

Dia juga mencatat bahwa target utama RomCom tampaknya adalah perusahaan, yang jarang menggunakan Tor.

Baik CVE-2024-9680 maupun CVE-2024-49039 telah ditambal, yang pertama pada 9 Oktober, hanya 25 jam setelah Mozilla diberitahu tentang masalah tersebut, dan yang terakhir pada 12 November.

“Sekarang, saya harap, masalahnya kurang lebih sudah selesai,” kata Schaeffer. Namun, untuk perusahaan mana pun, “Itu akan bergantung pada kebijakan mereka. Jika Anda memiliki manajemen tambalan yang baik, ini akan diperbaiki dalam satu hari atau lebih. Namun, terserah orang-orang untuk memperbaiki masalah mereka.”

Sampai di sini pambahasan kita mengenai serangan zero click backdoor RomCom menyebar di Firefox dan Tor. Semoga bermanfaat bagi pembaca.

 

 

 

Baca artikel lainnya:

  • Winter Vivern Eksploitasi Zero Day
  • 7 Prinsip Zero Trust
  • Phising Zerofont
  • Zerobot Racuni Perangkat IoT
  • Lonjakan Zero Day Penyebab dan Mitigasinya
  • Langkah-langkah Menjaga Zero Trust
  • Teknologi Komprehensif ESET Batu Sandungan Zero Day
  • Zero Day 101

 

 

Sumber berita:

 

WeLiveSecurity

Continue Reading

Previous: Evolusi Serangan Phising
Next: FBI Berikan Saran Cara Mengatasi Penipuan AI

Related Stories

Pengguna Windows Hati-hati Ancaman Siber Ini Pengguna Windows Hati-hati Ancaman Siber Ini
3 min read
  • Sektor Personal
  • Teknologi

Pengguna Windows Hati-hati Ancaman Siber Ini

September 11, 2025
Pentingnya Enkripsi Data untuk Melindungi Bisnis Pentingnya Enkripsi Data untuk Melindungi Bisnis
3 min read
  • Teknologi

Pentingnya Enkripsi Data untuk Melindungi Bisnis

September 9, 2025
Dunia Siber Cemas Kekuatan AI Terpadu Mengancam Dunia Siber Cemas Kekuatan AI Terpadu Mengancam
3 min read
  • Teknologi

Dunia Siber Cemas Kekuatan AI Terpadu Mengancam

September 9, 2025

Recent Posts

  • Mengenali dan Menghindari Jebakan Penipuan Digital
  • Pengguna Windows Hati-hati Ancaman Siber Ini
  • Malvertising Canggih Manfaatkan Iklan Berbayar
  • Ancaman Siber Baru yang Merusak Server Windows
  • Pentingnya Enkripsi Data untuk Melindungi Bisnis
  • Dunia Siber Cemas Kekuatan AI Terpadu Mengancam
  • WhatsApp di iOS Dieksploitasi Serangan Canggih Zero-Click
  • AwanPintar.id® Laporan Ancaman Digital Semester 1 tahun 2025
  • Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider
  • Iklan Palsu di Meta Sebarkan Malware Infostealer

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengenali dan Menghindari Jebakan Penipuan Digital Mengenali dan Menghindari Jebakan Penipuan Digital
6 min read
  • Sektor Personal

Mengenali dan Menghindari Jebakan Penipuan Digital

September 11, 2025
Pengguna Windows Hati-hati Ancaman Siber Ini Pengguna Windows Hati-hati Ancaman Siber Ini
3 min read
  • Sektor Personal
  • Teknologi

Pengguna Windows Hati-hati Ancaman Siber Ini

September 11, 2025
Malvertising Canggih Manfaatkan Iklan Berbayar Mengenal Malvertising
3 min read
  • Sektor Personal

Malvertising Canggih Manfaatkan Iklan Berbayar

September 10, 2025
Ancaman Siber Baru yang Merusak Server Windows Ancaman Siber Baru yang Merusak Server Windows
4 min read
  • Sektor Bisnis

Ancaman Siber Baru yang Merusak Server Windows

September 10, 2025

Copyright © All rights reserved. | DarkNews by AF themes.