Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Zero Click Backdoor RomCom Menyebar di Firefox dan Tor
  • Teknologi

Zero Click Backdoor RomCom Menyebar di Firefox dan Tor

3 min read
Zero Click Backdoor RomCom Menyebar di Firefox dan Tor

image credit: Pixabay.com

Kembali kita dikejutkan oleh serangan zero click backdoor RomCom menyebar di Firefox dan Tor. Seperti apa serangan ini terjadi, berikut pemaparannya.

Selama kurun waktu singkat di bulan Oktober, peretas Rusia memiliki kemampuan untuk meluncurkan kode arbitrer terhadap siapa pun di dunia yang menggunakan Firefox atau Tor.

Pada tanggal 8 Oktober, peneliti dari ESET pertama kali menemukan file berbahaya di server yang dikelola oleh Advanced Persistent Threat (APT) Rusia RomCom (alias Storm-0978, Tropical Scorpius, UNC2596). File tersebut telah online hanya lima hari sebelumnya, pada tanggal 3 Oktober.

Analisis menunjukkan bahwa mereka memanfaatkan dua kerentanan zero-day: satu memengaruhi perangkat lunak Mozilla, yang lainnya Windows. Hasilnya: eksploitasi yang menyebarkan backdoor RomCom kepada siapa pun yang mengunjungi situs web yang terinfeksi, tanpa perlu mengklik apa pun.

Untungnya, kedua masalah tersebut segera diatasi. “Para penyerang hanya memiliki waktu yang sangat singkat untuk mencoba membahayakan komputer,” jelas Romain Dumont, peneliti malware di ESET. “Ya, memang ada kerentanan zero-day. Namun, kerentanan itu tetap saja ditambal dengan sangat cepat.”

Baca juga: Malware Zero Click Pencuri Data Clouds

Zero-Day di Firefox & Tor

Kerentanan pertama dari dua kerentanan, CVE-2024-9680, merupakan peluang penggunaan setelah bebas dalam linimasa animasi Firefox, mekanisme peramban yang menangani cara animasi dimainkan berdasarkan interaksi pengguna dengan situs web.

Kemampuannya untuk memberi penyerang eksekusi perintah yang sewenang-wenang membuatnya memperoleh peringkat “kritis” 9,8 dari Common Vulnerability Scoring System (CVSS).

Yang terpenting, CVE-2024-9680 memengaruhi lebih dari sekadar Firefox. Klien email open source Mozilla “Thunderbird” juga terdampak.

Seperti halnya peramban Tor yang sangat rahasia, yang dibuat dari versi modifikasi peramban Extended Support Release (ESR) Firefox.

Pada bulan Oktober, RomCom menyebarkan situs web yang dibuat khusus yang akan langsung memicu CVE-2024-9680 tanpa memerlukan interaksi korban apa pun. Korban tanpa sadar akan mengunduh backdoor RomCom dari server yang dikendalikan RomCom, lalu dengan cepat dialihkan ke situs web asli yang mereka kira telah mereka kunjungi selama ini.

Domain jahat ini dibuat untuk meniru situs asli yang terkait dengan platform layanan TI ConnectWise dan Devolutions, dan Correctiv, ruang berita nirlaba untuk jurnalisme investigasi di Jerman.

Bahwa organisasi-organisasi ini bersifat politis dan ekonomis mungkin tidak mengejutkan mereka yang mengenal RomCom, yang selalu melakukan kejahatan dunia maya oportunistik, tetapi belakangan ini telah menambahkan spionase bermotif politik ke dalam agendanya.

Aktivitasnya pada tahun 2024 mencakup kampanye melawan sektor asuransi dan farmasi di AS, tetapi juga sektor pertahanan, energi, dan pemerintah di Ukraina.

Tidak jelas dengan cara social engineering apa RomCom mungkin telah menyebarkan situs-situs jahat ini.

Baca juga: 3 Definisi Zero Day

Tentang Operasi RomCom

Tidak puas hanya dengan menjalankan kode di peramban korban, RomCom juga menggunakan kerentanan kedua, CVE-2024-49039. Bug dengan tingkat keparahan tinggi 8.8 CVSS pada Windows Task Scheduler.

Ini memungkinkan peningkatan hak istimewa, berkat endpoint panggilan prosedur jarak jauh (RPC) yang tidak terdokumentasi yang tidak sengaja dapat diakses oleh pengguna tingkat rendah. Dalam kasus ini, RomCom menggunakan CVE-2024-49039 untuk keluar dari sandbox peramban dan masuk ke komputer korban secara umum.

Kerusakan yang mungkin terjadi dengan rantai eksploitasi yang begitu kuat, dan siapa saja yang terkena dampaknya bulan lalu, masih belum diketahui. Yang jelas saat ini adalah bahwa sebagian besar target berada di Amerika Utara dan Eropa, khususnya Republik Ceko, Prancis, Jerman, Polandia, Spanyol, Italia, dan AS ditambah korban yang tersebar di Selandia Baru dan Guyana Prancis.

Catatan RomCom

Selain itu, perlu dicatat, tidak ada korban yang dilacak oleh ESET yang disusupi melalui Tor. “Tor memiliki beberapa pengaturan yang telah ditetapkan sebelumnya yang berbeda dari Firefox, jadi mungkin itu tidak akan berhasil,” Damien Schaeffer, peneliti malware senior di ESET berspekulasi.

Dia juga mencatat bahwa target utama RomCom tampaknya adalah perusahaan, yang jarang menggunakan Tor.

Baik CVE-2024-9680 maupun CVE-2024-49039 telah ditambal, yang pertama pada 9 Oktober, hanya 25 jam setelah Mozilla diberitahu tentang masalah tersebut, dan yang terakhir pada 12 November.

“Sekarang, saya harap, masalahnya kurang lebih sudah selesai,” kata Schaeffer. Namun, untuk perusahaan mana pun, “Itu akan bergantung pada kebijakan mereka. Jika Anda memiliki manajemen tambalan yang baik, ini akan diperbaiki dalam satu hari atau lebih. Namun, terserah orang-orang untuk memperbaiki masalah mereka.”

Sampai di sini pambahasan kita mengenai serangan zero click backdoor RomCom menyebar di Firefox dan Tor. Semoga bermanfaat bagi pembaca.

 

 

 

Baca artikel lainnya:

  • Winter Vivern Eksploitasi Zero Day
  • 7 Prinsip Zero Trust
  • Phising Zerofont
  • Zerobot Racuni Perangkat IoT
  • Lonjakan Zero Day Penyebab dan Mitigasinya
  • Langkah-langkah Menjaga Zero Trust
  • Teknologi Komprehensif ESET Batu Sandungan Zero Day
  • Zero Day 101

 

 

Sumber berita:

 

WeLiveSecurity

Continue Reading

Previous: Evolusi Serangan Phising
Next: FBI Berikan Saran Cara Mengatasi Penipuan AI

Related Stories

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
5 min read
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

June 3, 2025
SIM Card Dari Fisik ke Digital dan Risiko di Baliknya SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
4 min read
  • Teknologi

SIM Card Dari Fisik ke Digital dan Risiko di Baliknya

June 3, 2025
Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025

Recent Posts

  • Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
  • SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber
  • Waspada Aplikasi Ledger Palsu Mengincar Pengguna macOS

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
5 min read
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

June 3, 2025
SIM Card Dari Fisik ke Digital dan Risiko di Baliknya SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
4 min read
  • Teknologi

SIM Card Dari Fisik ke Digital dan Risiko di Baliknya

June 3, 2025
Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025
Membongkar Rahasia Cara Kerja VPN Membongkar Rahasia Cara Kerja VPN
6 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Membongkar Rahasia Cara Kerja VPN

June 2, 2025

Copyright © All rights reserved. | DarkNews by AF themes.