TrendMicro découvre un nouveau logiciel malveillant de type RomCom
Trend Micro a découvert une nouvelle campagne impliquant un logiciel malveillant appelé RomCom, qui incite les utilisateurs à télécharger des logiciels nuisibles en se faisant passer pour des sites web connus ou fictifs.
Les chercheurs de Trend Micro surveillent RomCom depuis l'été 2022 et ont constaté que le logiciel malveillant a amélioré sa capacité à éviter la détection et a acquis de nouvelles commandes. Les attaquants utilisent principalement des sites web liés à des applications de gestion de bureau à distance, ce qui augmente les chances d'utiliser des tactiques d'hameçonnage ou d'ingénierie sociale.
La première utilisation connue de RomCom a été signalée en août 2022 par Palo Alto Networks, qui a attribué les attaques à un ransomware affilié appelé "Tropical Scorpius". Trend Micro désigne le même acteur sous le nom de "Void Rabisu".
Le logiciel malveillant RomCom a été actif en 2022 et a ciblé des réseaux en Ukraine, aux États-Unis, au Brésil et aux Philippines. Il se déguisait en logiciel légitime, notamment SolarWinds Network Performance Monitor, le gestionnaire de mot de passe KeePass et PDF Reader Pro.
Entre décembre 2022 et avril 2023, Trend Micro a découvert des sites Web associés à RomCom. Ces sites web prétendaient offrir des logiciels populaires tels que Gimp, Go To Meeting, ChatGPT, WinDirStat, AstraChat, System Ninja et Devolutions' Remote Desktop Manager.
Les sites web distribuaient des programmes d'installation MSI trojanisés qui ressemblaient aux applications promises, mais qui contenaient un fichier DLL malveillant appelé "InstallA.dll". Une fois exécuté, ce fichier extrayait trois DLL supplémentaires dans le dossier %PUBLIC%\Libraries de la victime. Ces DLL étaient responsables des communications avec le serveur de commande et de contrôle et de l'exécution des commandes.
La dernière version de RomCom a augmenté le nombre de commandes malveillantes de 20 à 42, donnant aux attaquants un contrôle étendu sur les systèmes compromis. Le logiciel malveillant pouvait exécuter des processus avec usurpation de PID, extraire des données, établir des proxies SSH, se mettre à jour, exécuter des instances cachées d'AnyDesk, compresser des dossiers et les envoyer au serveur des attaquants.
Trend Micro a également découvert que RomCom installait des charges utiles de programmes malveillants supplémentaires. Ces charges utiles comprenaient PhotoDirector.dll, qui capturait et compressait des captures d'écran à des fins d'exfiltration, procsys.dll, un voleur de cookies de navigateur web, wallet.exe, un voleur de portefeuilles de crypto-monnaies, msg.dll, un voleur de chats de messagerie instantanée, et FileInfo.dll, un voleur d'informations d'identification FTP.
Pour protéger son code et échapper à la détection, les créateurs de RomCom ont utilisé le logiciel VMProtect pour la protection du code et les capacités anti-machine virtuelle. Le logiciel malveillant a chiffré sa charge utile en utilisant une source externe pour la clé de chiffrement. Il a également utilisé des octets nuls dans ses communications de commande et de contrôle pour éviter d'être détecté par les outils de surveillance du réseau.
Des sites web malveillants distribuent le logiciel, qui est signé par des sociétés apparemment légitimes aux États-Unis et au Canada. Cependant, ces sociétés sont fausses ou ont plagié le contenu de leurs sites web, ce qui indique une tentative délibérée de tromper les utilisateurs.
Les sources de cet article comprennent un article de BleepingComputer.