Полезные знания Троян RomCom маскируется под PDF Reader Pro, KeePass, SolarWinds NPM

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.795
Реакции
61.959
RUB
50
Операторы трояна удаленного доступа RomCom сменили тактику, и теперь малварь распространятся под видом известного софта.


Включая SolarWinds Network Performance Monitor (NPM), менеджер паролей KeePass, PDF Reader Pro, а также Veeam Backup and Recovery.

Изменения в методах распространения RomCom обнаружили аналитики компаний и . По их словам, теперь операторы RomCom создают сайты, имитирующие официальные порталы загрузки популярного ПО, по сути, маскируя свою малварь под известный софт. При этом хакеры не просто скопировали HTML-код настоящих сайтов, но также зарегистрировали «похожие» тайпсквоттерские домены, чтобы их сайты больше походили на настоящие.

К примеру, сайт, который выдает себя за портал загрузки SolarWinds NPM, предлагает пользователям троянскую версию бесплатного триала и даже содержит ссылки на настоящую регистрационную форму SolarWinds. Если жертва заполнит ее, с ней свяжется настоящий торговый представитель SolarWinds и предложит испытать пробную версию продукта.



Само приложение изменено и содержит вредоносный файл DLL, который загружает и запускает копию RomCom RAT из C:\Users\user\AppData\Local\Temp\winver.dll. Исследователи отмечают, что загруженный исполняемый файл (Solarwinds-Orion-NPM-Eval.exe) подписан тем же цифровым сертификатом, который операторы RAT ранее использовали против целей на Украине. Его владельцем является «Wechapaisch Consulting & Construction Limited».

В случае с клонированным сайтом KeePass, который эксперты BlackBerry обнаружили 1 ноября 2022 года, злоумышленники распространяют архив под названием KeePass-2.52.zip. Он содержит несколько файлов, в том числе hlpr.dat, который представляет собой дроппер RomCom RAT, а также setup.exe, который запускает этот дроппер. Предполагается, что setup.exe будет запущен вручную после загрузки архива.



Кроме того, был замечен и второй поддельный сайт KeePass, а также сайт PDF Reader Pro, причем оба вредоносных ресурса используют украинский язык. По словам экспертов, это свидетельствует о том, что RomCom по-прежнему нацелен на Украину, хотя теперь группировка также ориентирована и на англоязычных пользователей.



В настоящее время неясно, как злоумышленники заманивают потенциальных жертв на фейковые сайты. Вероятно, это осуществляется с помощью фишинга, «отравление» SEO или через сообщения на форумах или в социальных сетях.

Напомню, что в августе текущего года аналитики Palo Alto Networks RomCom RAT с хак-группой Tropical Scorpius, которая, судя по всему, является «партнером» вымогателя Cuba. На тот момент это были первые злоумышленники, использовавшие RomCom.

В свою очередь, в своем специалисты BlackBerry писали, что они не нашли доказательств связи RomCom RAT с какими-либо известными злоумышленниками. Теперь же в новом отчете упоминаются вымогатель Cuba и Industrial Spy, которые могут иметь отношение к RomCom и его авторам. Впрочем, мотивация операторов RomCom по-прежнему остается неясной.

 
Сверху Снизу