Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Zero Click Backdoor RomCom Menyebar di Firefox dan Tor
  • Teknologi

Zero Click Backdoor RomCom Menyebar di Firefox dan Tor

3 min read
Zero Click Backdoor RomCom Menyebar di Firefox dan Tor

image credit: Pixabay.com

Kembali kita dikejutkan oleh serangan zero click backdoor RomCom menyebar di Firefox dan Tor. Seperti apa serangan ini terjadi, berikut pemaparannya.

Selama kurun waktu singkat di bulan Oktober, peretas Rusia memiliki kemampuan untuk meluncurkan kode arbitrer terhadap siapa pun di dunia yang menggunakan Firefox atau Tor.

Pada tanggal 8 Oktober, peneliti dari ESET pertama kali menemukan file berbahaya di server yang dikelola oleh Advanced Persistent Threat (APT) Rusia RomCom (alias Storm-0978, Tropical Scorpius, UNC2596). File tersebut telah online hanya lima hari sebelumnya, pada tanggal 3 Oktober.

Analisis menunjukkan bahwa mereka memanfaatkan dua kerentanan zero-day: satu memengaruhi perangkat lunak Mozilla, yang lainnya Windows. Hasilnya: eksploitasi yang menyebarkan backdoor RomCom kepada siapa pun yang mengunjungi situs web yang terinfeksi, tanpa perlu mengklik apa pun.

Untungnya, kedua masalah tersebut segera diatasi. “Para penyerang hanya memiliki waktu yang sangat singkat untuk mencoba membahayakan komputer,” jelas Romain Dumont, peneliti malware di ESET. “Ya, memang ada kerentanan zero-day. Namun, kerentanan itu tetap saja ditambal dengan sangat cepat.”

Baca juga: Malware Zero Click Pencuri Data Clouds

Zero-Day di Firefox & Tor

Kerentanan pertama dari dua kerentanan, CVE-2024-9680, merupakan peluang penggunaan setelah bebas dalam linimasa animasi Firefox, mekanisme peramban yang menangani cara animasi dimainkan berdasarkan interaksi pengguna dengan situs web.

Kemampuannya untuk memberi penyerang eksekusi perintah yang sewenang-wenang membuatnya memperoleh peringkat “kritis” 9,8 dari Common Vulnerability Scoring System (CVSS).

Yang terpenting, CVE-2024-9680 memengaruhi lebih dari sekadar Firefox. Klien email open source Mozilla “Thunderbird” juga terdampak.

Seperti halnya peramban Tor yang sangat rahasia, yang dibuat dari versi modifikasi peramban Extended Support Release (ESR) Firefox.

Pada bulan Oktober, RomCom menyebarkan situs web yang dibuat khusus yang akan langsung memicu CVE-2024-9680 tanpa memerlukan interaksi korban apa pun. Korban tanpa sadar akan mengunduh backdoor RomCom dari server yang dikendalikan RomCom, lalu dengan cepat dialihkan ke situs web asli yang mereka kira telah mereka kunjungi selama ini.

Domain jahat ini dibuat untuk meniru situs asli yang terkait dengan platform layanan TI ConnectWise dan Devolutions, dan Correctiv, ruang berita nirlaba untuk jurnalisme investigasi di Jerman.

Bahwa organisasi-organisasi ini bersifat politis dan ekonomis mungkin tidak mengejutkan mereka yang mengenal RomCom, yang selalu melakukan kejahatan dunia maya oportunistik, tetapi belakangan ini telah menambahkan spionase bermotif politik ke dalam agendanya.

Aktivitasnya pada tahun 2024 mencakup kampanye melawan sektor asuransi dan farmasi di AS, tetapi juga sektor pertahanan, energi, dan pemerintah di Ukraina.

Tidak jelas dengan cara social engineering apa RomCom mungkin telah menyebarkan situs-situs jahat ini.

Baca juga: 3 Definisi Zero Day

Tentang Operasi RomCom

Tidak puas hanya dengan menjalankan kode di peramban korban, RomCom juga menggunakan kerentanan kedua, CVE-2024-49039. Bug dengan tingkat keparahan tinggi 8.8 CVSS pada Windows Task Scheduler.

Ini memungkinkan peningkatan hak istimewa, berkat endpoint panggilan prosedur jarak jauh (RPC) yang tidak terdokumentasi yang tidak sengaja dapat diakses oleh pengguna tingkat rendah. Dalam kasus ini, RomCom menggunakan CVE-2024-49039 untuk keluar dari sandbox peramban dan masuk ke komputer korban secara umum.

Kerusakan yang mungkin terjadi dengan rantai eksploitasi yang begitu kuat, dan siapa saja yang terkena dampaknya bulan lalu, masih belum diketahui. Yang jelas saat ini adalah bahwa sebagian besar target berada di Amerika Utara dan Eropa, khususnya Republik Ceko, Prancis, Jerman, Polandia, Spanyol, Italia, dan AS ditambah korban yang tersebar di Selandia Baru dan Guyana Prancis.

Catatan RomCom

Selain itu, perlu dicatat, tidak ada korban yang dilacak oleh ESET yang disusupi melalui Tor. “Tor memiliki beberapa pengaturan yang telah ditetapkan sebelumnya yang berbeda dari Firefox, jadi mungkin itu tidak akan berhasil,” Damien Schaeffer, peneliti malware senior di ESET berspekulasi.

Dia juga mencatat bahwa target utama RomCom tampaknya adalah perusahaan, yang jarang menggunakan Tor.

Baik CVE-2024-9680 maupun CVE-2024-49039 telah ditambal, yang pertama pada 9 Oktober, hanya 25 jam setelah Mozilla diberitahu tentang masalah tersebut, dan yang terakhir pada 12 November.

“Sekarang, saya harap, masalahnya kurang lebih sudah selesai,” kata Schaeffer. Namun, untuk perusahaan mana pun, “Itu akan bergantung pada kebijakan mereka. Jika Anda memiliki manajemen tambalan yang baik, ini akan diperbaiki dalam satu hari atau lebih. Namun, terserah orang-orang untuk memperbaiki masalah mereka.”

Sampai di sini pambahasan kita mengenai serangan zero click backdoor RomCom menyebar di Firefox dan Tor. Semoga bermanfaat bagi pembaca.

 

 

 

Baca artikel lainnya:

  • Winter Vivern Eksploitasi Zero Day
  • 7 Prinsip Zero Trust
  • Phising Zerofont
  • Zerobot Racuni Perangkat IoT
  • Lonjakan Zero Day Penyebab dan Mitigasinya
  • Langkah-langkah Menjaga Zero Trust
  • Teknologi Komprehensif ESET Batu Sandungan Zero Day
  • Zero Day 101

 

 

Sumber berita:

 

WeLiveSecurity

Continue Reading

Previous: Evolusi Serangan Phising
Next: FBI Berikan Saran Cara Mengatasi Penipuan AI

Related Stories

Tanda-tanda Router Diretas dan Cara Melindunginya Tanda-tanda Router Diretas dan Cara Melindunginya
6 min read
  • Sektor Personal
  • Teknologi

Tanda-tanda Router Diretas dan Cara Melindunginya

September 16, 2025
Memahami dan Mengelola Shadow IT di Era Digital Memahami dan Mengelola Shadow IT di Era Digital
5 min read
  • Sektor Bisnis
  • Teknologi

Memahami dan Mengelola Shadow IT di Era Digital

September 15, 2025
Mengenal Security as a Service (SECaaS) Mengenal Security as a Service (SECaaS)
3 min read
  • Sektor Bisnis
  • Teknologi

Mengenal Security as a Service (SECaaS)

September 15, 2025

Recent Posts

  • Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?
  • Cara Menjaga Mental Anak dari Ancaman Dunia Maya
  • Tiga Elemen Penting Menghadapi Ancaman Siber
  • Tanda-tanda Router Diretas dan Cara Melindunginya
  • Yakin Email dari Bos Anda Asli Begini Cara Memastikannya
  • Memahami dan Mengelola Shadow IT di Era Digital
  • Mengenal Security as a Service (SECaaS)
  • Mengapa Kata Sandi Jadi Sasaran Empuk Peretas
  • Mengamankan Server Bisnis Anda
  • Lebih dari Sekadar Hiburan Gaming Bantu Perkembangan Anak

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Browser Adalah Titik Serangan Baru Sudahkah Anda Siap? Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?
3 min read
  • Sektor Bisnis
  • Sektor Personal

Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?

September 17, 2025
Cara Menjaga Mental Anak dari Ancaman Dunia Maya Cara Menjaga Mental Anak dari Ancaman Dunia Maya - Terlepas dari sisi positifnya, dunia digital sering kali meniru perilaku buruk yang kita lihat di dunia nyata. Hal ini kadang bahkan memperburuknya.
4 min read
  • Edukasi
  • Sektor Personal

Cara Menjaga Mental Anak dari Ancaman Dunia Maya

September 17, 2025
Tiga Elemen Penting Menghadapi Ancaman Siber Tiga Elemen Penting Menghadapi Ancaman Siber
4 min read
  • Sektor Bisnis

Tiga Elemen Penting Menghadapi Ancaman Siber

September 16, 2025
Tanda-tanda Router Diretas dan Cara Melindunginya Tanda-tanda Router Diretas dan Cara Melindunginya
6 min read
  • Sektor Personal
  • Teknologi

Tanda-tanda Router Diretas dan Cara Melindunginya

September 16, 2025

Copyright © All rights reserved. | DarkNews by AF themes.