RomCom Manfaatkan Celah Zero-Day Firefox dan Windows

Kelompok peretas bernama RomCom, yang diketahui berafiliasi dengan Rusia, kembali menarik perhatian dunia siber dengan aksinya yang canggih. Mereka berhasil memanfaatkan dua celah keamanan serius, satu di browser Mozilla Firefox dan satu lagi di sistem operasi Microsoft Windows. Serangan ini dirancang untuk menyebarkan malware berbahaya bernama RomCom RAT ke perangkat para korbannya.

Menurut laporan ESET, serangan ini sangat berbahaya karena memanfaatkan teknik zero-click, di mana korban tidak perlu melakukan apa pun selain mengunjungi situs web berbahaya. Begitu situs dikunjungi, kode berbahaya langsung dijalankan dan menginfeksi perangkat tanpa pemberitahuan.

Dua Celah Keamanan yang Dimanfaatkan

RomCom mengeksploitasi dua celah berikut:

1. CVE-2024-9680: Sebuah kerentanan use-after-free di komponen animasi Mozilla Firefox. Celah ini memiliki skor CVSS 9.8, menunjukkan tingkat keparahan yang sangat tinggi. Mozilla telah memperbaikinya pada Oktober 2024.
2. CVE-2024-49039: Sebuah kerentanan eskalasi hak akses di Windows Task Scheduler dengan skor CVSS 8.8. Celah ini memungkinkan penyerang mendapatkan kontrol lebih dalam sistem korban. Microsoft telah merilis pembaruan keamanan untuk celah ini pada November 2024.

Cara Kerja Serangan

RomCom, yang juga dikenal dengan nama lain seperti Storm-0978, Void Rabisu, atau Tropical Scorpius, memiliki riwayat panjang dalam melakukan operasi kejahatan siber dan spionase sejak 2022. Dalam serangan terbaru ini, mereka menggunakan situs palsu bernama economistjournal[.]cloud untuk memikat korban. Situs ini akan mengarahkan pengunjung ke server jahat redjournal[.]cloud, yang menghosting kode eksploitasi dan malware.

Jika korban menggunakan versi Firefox yang rentan untuk mengakses situs tersebut, celah di browser akan langsung dieksploitasi. Serangan ini menggunakan teknik Shellcode Reflective DLL Injection untuk menjalankan kode berbahaya. Prosesnya dimulai dengan memuat kode eksploitasi ke memori, kemudian menjalankan payload yang memanfaatkan celah Windows Task Scheduler untuk mendapatkan hak administrator. Akibatnya, malware RomCom RAT terinstal di perangkat korban.

RomCom RAT merupakan malware yang sangat serbaguna. Ia dapat menjalankan perintah jarak jauh dan mengunduh modul tambahan untuk melanjutkan aktivitas berbahaya. Dengan kombinasi dua celah ini, serangan menjadi sangat sulit terdeteksi dan bisa berjalan tanpa interaksi pengguna.

Siapa yang Jadi Target?

Data dari ESET menunjukkan bahwa sebagian besar korban berasal dari Eropa dan Amerika Utara. Meski begitu, bagaimana tautan ke situs palsu disebarkan masih menjadi misteri. Bisa jadi, tautan ini disebarkan melalui email phishing, media sosial, atau metode rekayasa sosial lainnya.

Yang menarik, celah di Windows (CVE-2024-49039) ditemukan secara independen oleh Google Threat Analysis Group (TAG). Fakta ini menunjukkan kemungkinan bahwa lebih dari satu kelompok peretas menggunakan celah ini secara bersamaan.

RomCom dan Eksploitasi Zero-Day

Ini bukan kali pertama RomCom mengeksploitasi celah keamanan zero-day. Pada Juni 2023, mereka memanfaatkan celah CVE-2023-36884 melalui dokumen Microsoft Word. Dengan riwayat seperti ini, RomCom telah menunjukkan bahwa mereka memiliki sumber daya dan kemampuan tinggi dalam mengembangkan serangan canggih.

Apa yang Bisa Kita Pelajari?

Serangan ini kembali menegaskan pentingnya pembaruan perangkat lunak. Celah keamanan yang dimanfaatkan RomCom sebenarnya sudah ditambal oleh Mozilla dan Microsoft. Namun, pengguna yang tidak memperbarui perangkat mereka tetap menjadi target yang empuk bagi peretas.

Selain itu, serangan ini mengingatkan kita untuk lebih waspada saat menjelajahi internet. Menghindari situs mencurigakan, berhati-hati dengan tautan yang tidak dikenal, dan menggunakan perangkat lunak keamanan dapat membantu mencegah infeksi malware.

Dalam dunia yang semakin digital, kelompok seperti RomCom terus berinovasi dalam melancarkan serangan. Bagi pengguna, langkah pencegahan terbaik adalah tetap waspada dan selalu menjaga keamanan perangkat dengan pembaruan rutin. Meskipun begitu, keahlian RomCom dalam menggabungkan dua celah zero-day menunjukkan bahwa ancaman siber semakin kompleks dan membutuhkan pendekatan keamanan yang lebih kuat.