Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
RomCom RAT-Betreiber tarnen Malware als legitime Programme
16. November 2022. TuxCare PR Team
RomCom, ein Bedrohungsakteur, soll eine Reihe neuer Angriffskampagnen durchführen und dabei die Markenstärke von SolarWinds, KeePass und PDF Technologies nutzen. Er verwendet einen RomCom RAT (Remote Access Trojaner), um seinen Angriffsvektor zu aktualisieren und verbreitet ihn nun über bekannte Software-Marken.
Bevor er sich auf ukrainische Militärsysteme und englischsprachige Länder wie das Vereinigte Königreich verlegte, war der Bedrohungsakteur für die Fälschung beliebter Apps wie Advanced IP Scanners und PDF Filler bekannt.
Advanced IP Scanner wurde gefälscht, indem der Buchstabe "V" an den Namen der Datei angehängt wurde. Wenn die gefälschte Software entpackt wird, enthält sie 27 Dateien mit vier bösartigen Droppern. Darüber hinaus wurde eine E-Mail an das ukrainische Militär mit einem eingebetteten Link verschickt, der zu einer gefälschten Website führte, die den Downloader der nächsten Stufe enthielt. Bei der Verlockung handelt es sich um eine Fälschung mit der Bezeichnung "Order 309.pdf".
RomCom ist dafür bekannt, echten HTML-Code von Anbietern zu entfernen, um ihn zu fälschen. Er registriert dann eine bösartige Domain, die der legitimen ähnelt, aber mit einem Trojaner infiziert ist, lädt ein betrügerisches Paket auf die gefälschte Website hoch und sendet dann Phishing-E-Mails an die Opfer oder verwendet zusätzliche Infektionsvektoren für den Angriff.
Die ersten Versionen von RomCom RAT waren in der Software Advanced IP Scanner enthalten, die gefälscht wurde und von der es zwei Versionen gibt: "Advanced IP Scanner V2.5.4594.1.zip" und "advancedipscanner.msi".
Außerdem werden Angriffe mit einer trojanisierten Version der SolarWinds Network Performance Monitoring (NPM)-Anwendung gestartet, indem ein legitimes Registrierungsformular eingereicht und gleichzeitig eine kostenlose Testversion von der gefälschten SolarWinds-Website heruntergeladen wird. Nach dem Ausfüllen des Formulars kann sich ein echter SolarWinds-Vertriebsmitarbeiter mit dem Opfer in Verbindung setzen, um die Produkttestversion zu verfolgen, was das Opfer glauben lässt, dass die kürzlich installierte Anwendung echt ist. Stattdessen lädt das Opfer den bösartigen RomCom Remote Access Trojaner (RAT) herunter.
Die Angreifer fügten eine bösartige DLL in die infizierte Anwendung ein, die eine Instanz des RomCom RAT vom Speicherort "C:UsersuserAppDataLocalTempwinver.dll" herunterlädt und ausführt.
Die Bedrohungsakteure sollen auch die KeePass-RomCom-Kampagne genutzt haben, um ein Archiv namens "KeePass-2.52.zip" zu verbreiten, das den RomCom-RAT-Dropper ("hlpr.dat") und die setup.exe enthält, die zur Ausführung des Droppers verwendet wurde.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
