Support technique
Documentation
Connexion
Nous contacter
Les opérateurs de RomCom RAT déguisent les malwares en programmes légitimes.
16 novembre 2022 - L'équipe de relations publiques de TuxCare
RomCom, un acteur de la menace, mènerait une série de nouvelles campagnes d'attaque en utilisant la puissance des marques SolarWinds, KeePass et PDF Technologies. Il utilise un RAT (remote access trojan) de RomCom pour mettre à jour son vecteur d'attaque et le distribue désormais par le biais de marques de logiciels bien connues.
Avant de s'attaquer aux systèmes militaires ukrainiens et aux pays anglophones tels que le Royaume-Uni, l'acteur de la menace était connu pour la contrefaçon d'applications populaires telles que Advanced IP Scanners et PDF Filler.
Advanced IP Scanner a été falsifié en joignant la lettre "V" au nom du fichier. Si le faux logiciel est décompressé, il est accompagné de 27 fichiers contenant quatre droppers malveillants. En outre, il a envoyé un courriel à l'armée ukrainienne avec un lien intégré qui mène à un faux site Web qui dépose le téléchargeur de l'étape suivante. L'appât est une contrefaçon connue sous le nom de "Ordre 309.pdf".
RomCom est connu pour supprimer le code HTML authentique des vendeurs pour le contrefaire. Il enregistre ensuite un domaine malveillant similaire au domaine légitime mais infecté par le cheval de Troie, télécharge un paquet frauduleux sur le faux site Web, puis envoie des e-mails de phishing aux victimes ou utilise des vecteurs d'infection supplémentaires pour attaquer ?
Les premières versions de RomCom RAT étaient incluses dans le logiciel Advanced IP Scanner, qui a été contrefait, et dont il existe deux versions : "Advanced IP Scanner V2.5.4594.1.zip" et "advancedipscanner.msi".
Il lance également des attaques à l'aide d'une version trojanisée de l'application SolarWinds Network Performance Monitoring (NPM) en soumettant un formulaire d'inscription légitime et en téléchargeant simultanément une version d'essai gratuite sur le faux site Web de SolarWinds. Après avoir rempli le formulaire, un véritable représentant commercial de SolarWinds peut contacter la victime pour assurer le suivi de la version d'essai du produit, laissant croire à la victime que l'application récemment installée est authentique. Au lieu de cela, la victime télécharge le dropper (RAT) du cheval de Troie malveillant RomCom Remote Access.
Les attaquants ont inséré une DLL malveillante dans l'application infectée, qui télécharge et exécute une instance du RAT RomCom depuis l'emplacement "C:UsersuserAppDataLocalTempwinver.dll".
Les acteurs de la menace auraient également utilisé la campagne KeePass RomCom pour distribuer une archive appelée "KeePass-2.52.zip" contenant le dropper RAT RomCom ("hlpr.dat") et le setup.exe utilisé pour exécuter le dropper.
Les sources de cet article comprennent un article de BleepingComputer.
