Hackers usam versões não autorizadas do software KeePass e SolarWinds para distribuir RomCom RAT

hackers-usam-versoes-nao-autorizadas-do-software-keepass-e-solarwinds-para-distribuir-romcom-rat

Hackers vêm usando versões não autorizadas do software KeePass e SolarWinds para distribuir RomCom RAT. Os operadores do RomCom RAT continuam a desenvolver suas campanhas com versões fraudulentas de software e, além da SolarWinds Network Performance Monitor e o gerenciador de senhas KeePass, também usam o PDF Reader Pro.

Os alvos da operação consistem em vítimas na Ucrânia e em países de língua inglesa selecionados, como o Reino Unido. “Dada a geografia dos alvos e a atual situação geopolítica, é improvável que o agente da ameaça RomCom RAT seja motivado por crimes cibernéticos”, disse a BlackBerry Threat Research and Intelligence Team em uma nova análise (Via: The Hacker News).

RomCom RAT em nova campanha fraudulenta

As últimas descobertas ocorrem uma semana depois que a empresa canadense de segurança cibernética divulgou uma campanha de spear phishing destinada a entidades ucranianas para implantar um trojan de acesso remoto chamado RomCom RAT. O agente de ameaça desconhecido também foi observado aproveitando variantes trojanizadas do Advanced IP Scanner e pdfFiller como droppers para distribuir o implante.

A iteração mais recente da campanha envolve a configuração de sites parecidos com chamariz com um nome de domínio semelhante, seguido pelo upload de um pacote instalador do software malicioso com malware e, em seguida, o envio de e-mails de phishing para as vítimas visadas.

“Ao baixar uma avaliação gratuita do site falsificado da SolarWinds, um formulário de registro legítimo aparece”, explicaram os pesquisadores. “Se preenchido, o pessoal de vendas real da SolarWinds pode entrar em contato com a vítima para acompanhar o teste do produto. Essa técnica induz a vítima a acreditar que o aplicativo recém-baixado e instalado é completamente legítimo”.

Não é apenas o software SolarWinds. Outras versões personificadas envolvem o popular gerenciador de senhas KeePass e PDF Reader Pro, inclusive no idioma ucraniano.

O uso do RomCom RAT também foi vinculado a agentes de ameaças associados ao ransomware Cuba e ao Industrial Spy, de acordo com a Palo Alto Networks Unit 42, que está rastreando o grupo de ransomware sob o apelido de tema de constelação Tropical Scorpius.

Dada a natureza interconectada do ecossistema cibercriminoso, não é imediatamente evidente se os dois conjuntos de atividades compartilham alguma conexão ou se o malware é oferecido para venda como um serviço para outros agentes de ameaças.

O hackers estão sempre se especializando em suas campanhas fraudulentas. Assim, manter a segurança em seus dispositivos pessoais e profissionais é essencial, para evitar ataques.

Acesse a versão completa
Sair da versão mobile