Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los operadores de RomCom RAT disfrazan el malware de programa legítimo
16 de noviembre de 2022 - Equipo de Relaciones Públicas de TuxCare
Se dice que RomCom, un actor de amenazas, está llevando a cabo una serie de nuevas campañas de ataque utilizando el poder de marca de SolarWinds, KeePass y PDF Technologies. Utiliza un RomCom RAT (troyano de acceso remoto) para actualizar su vector de ataque y ahora lo distribuye a través de conocidas marcas de software.
Antes de dedicarse a los sistemas militares ucranianos y a países de habla inglesa como el Reino Unido, este actor de amenazas era conocido por falsificar aplicaciones populares como Advanced IP Scanners y PDF Filler.
Advanced IP Scanner se falsificó adjuntando la letra "V" al nombre del archivo. Si se descomprime el software falso, viene acompañado de 27 archivos que contienen cuatro droppers maliciosos. Además, enviaba un correo electrónico a los militares ucranianos con un enlace incrustado que conducía a un sitio web falso que dejaba caer el descargador de la siguiente fase. El señuelo es una falsificación conocida como "Order 309.pdf".
RomCom es conocido por eliminar el código HTML genuino de los vendedores para falsificarlo. A continuación, registra un dominio malicioso similar al legítimo pero infectado con el troyano, carga un paquete fraudulento en el sitio web falso y luego envía correos electrónicos de phishing a las víctimas o utiliza vectores de infección adicionales para atacar?
Las primeras versiones de RomCom RAT se incluyeron en el software Advanced IP Scanner, que fue falsificado, y del que existen dos versiones: "Advanced IP Scanner V2.5.4594.1.zip" y "advancedipscanner.msi".
También lanza ataques utilizando una versión troyanizada de la aplicación SolarWinds Network Performance Monitoring (NPM) mediante el envío de un formulario de registro legítimo y la descarga simultánea de una versión de prueba gratuita desde el sitio web falso de SolarWinds. Tras rellenar el formulario, un representante de ventas genuino de SolarWinds puede ponerse en contacto con la víctima para realizar el seguimiento de la prueba del producto, haciéndole creer que la aplicación recién instalada es auténtica. En lugar de ello, la víctima descarga el dropper (RAT) del troyano malicioso RomCom Remote Access.
Los atacantes insertaron una DLL maliciosa en la app infectada, que descarga y ejecuta una instancia de la RAT RomCom desde la ubicación "C:UsersuserAppDataLocalTempwinver.dll"
Los autores de la amenaza también habrían utilizado la campaña KeePass RomCom para distribuir un archivo llamado "KeePass-2.52.zip" que contenía el dropper RomCom RAT ("hlpr.dat") y el archivo setup.exe que se utilizaba para ejecutar el dropper.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
