O grupo de cibercrime RomCom, supostamente vinculado à Rússia, foi associado à exploração de vulnerabilidades de dia zero em duas plataformas amplamente utilizadas: o navegador Mozilla Firefox e o sistema operacional Microsoft Windows. Esses ataques, altamente sofisticados, têm como objetivo implantar o backdoor RomCom RAT nos dispositivos das vítimas, permitindo o controle remoto e a execução de comandos maliciosos.

As falhas exploradas incluem: CVE-2024-9680 (CVSS 9,8): Vulnerabilidade de uso após liberação no componente de animação do Firefox, corrigida em outubro de 2024. CVE-2024-49039 (CVSS 8,8): Vulnerabilidade de escalonamento de privilégios no Agendador de Tarefas do Windows, corrigida pela Microsoft em novembro de 2024.

A ESET, empresa de segurança cibernética, detalhou que os ataques começam com um site falso (economistjournal[.]cloud) que redireciona os alvos para um servidor malicioso (redjournal[.]cloud). Este servidor hospeda os exploits que combinam as duas falhas para invadir o sistema e implantar o RomCom RAT. O ataque não exige interação do usuário: basta visitar o site em uma versão vulnerável do Firefox para acionar o exploit.

A cadeia de ataque envolve uma fuga de sandbox no Firefox, que, junto à vulnerabilidade do Windows, permite a execução do malware com privilégios elevados. Os principais alvos estão localizados na Europa e América do Norte, segundo dados da ESET.

O RomCom, também conhecido por outros codinomes como Storm-0978 e Void Rabisu, opera desde 2022 e é conhecido por suas táticas de espionagem e cibercrime. Em junho de 2023, o grupo foi flagrado explorando outra falha de dia zero (CVE-2023-36884) no Microsoft Word.

Especialistas destacam a sofisticação do ataque, que não apenas utiliza exploits sem interação do usuário, mas também reflete o compromisso do grupo em desenvolver ferramentas avançadas e furtivas. A vulnerabilidade CVE-2024-49039 também foi identificada pelo Google TAG, sugerindo que outros atores podem estar explorando a mesma falha.