Операторы трояна удаленного доступа RomCom сменили тактику, и теперь малварь распространятся под видом известного софта, включая SolarWinds Network Performance Monitor (NPM), менеджер паролей KeePass, PDF Reader Pro, а также Veeam Backup and Recovery.

Изменения в методах распространения RomCom обнаружили аналитики компаний BlackBerry и Palo Alto Networks. По их словам, теперь операторы RomCom создают сайты, имитирующие официальные порталы загрузки популярного ПО, по сути, маскируя свою малварь под известный софт. При этом хакеры не просто скопировали HTML-код настоящих сайтов, но также зарегистрировали «похожие» тайпсквоттерские домены, чтобы их сайты больше походили на настоящие.

К примеру, сайт, который выдает себя за портал загрузки SolarWinds NPM, предлагает пользователям троянскую версию бесплатного триала и даже содержит ссылки на настоящую регистрационную форму SolarWinds. Если жертва заполнит ее, с ней свяжется настоящий торговый представитель SolarWinds и предложит испытать пробную версию продукта.

Само приложение изменено и содержит вредоносный файл DLL, который загружает и запускает копию RomCom RAT из C:\Users\user\AppData\Local\Temp\winver.dll. Исследователи отмечают, что загруженный исполняемый файл (Solarwinds-Orion-NPM-Eval.exe) подписан тем же цифровым сертификатом, который операторы RAT ранее использовали против целей на Украине. Его владельцем является «Wechapaisch Consulting & Construction Limited».

В случае с клонированным сайтом KeePass, который эксперты BlackBerry обнаружили 1 ноября 2022 года, злоумышленники распространяют архив под названием KeePass-2.52.zip. Он содержит несколько файлов, в том числе hlpr.dat, который представляет собой дроппер RomCom RAT, а также setup.exe, который запускает этот дроппер. Предполагается, что setup.exe будет запущен вручную после загрузки архива.

Кроме того, был замечен и второй поддельный сайт KeePass, а также сайт PDF Reader Pro, причем оба вредоносных ресурса используют украинский язык. По словам экспертов, это свидетельствует о том, что RomCom по-прежнему нацелен на Украину, хотя теперь группировка также ориентирована и на англоязычных пользователей.

В настоящее время неясно, как злоумышленники заманивают потенциальных жертв на фейковые сайты. Вероятно, это осуществляется с помощью фишинга, «отравление» SEO или через сообщения на форумах или в социальных сетях.

Напомню, что в августе текущего года аналитики Palo Alto Networks связали RomCom RAT с хак-группой Tropical Scorpius, которая, судя по всему, является «партнером» вымогателя Cuba. На тот момент это были первые злоумышленники, использовавшие RomCom.

В свою очередь, в своем предыдущем отчете специалисты BlackBerry писали, что они не нашли доказательств связи RomCom RAT с какими-либо известными злоумышленниками. Теперь же в новом отчете упоминаются вымогатель Cuba и Industrial Spy, которые могут иметь отношение к RomCom и его авторам. Впрочем, мотивация операторов RomCom по-прежнему остается неясной.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии