Os hackers por trás do RomCom RAT estão utilizando versões não autorizadas de softwares de empresas como SolarWinds, KeePass e PDF Technologies.
Os alvos da operação consistem em vítimas na Ucrânia e em países de língua inglesa, como o Reino Unido. A descoberta foi realizada BlackBerry Threat Research and Intelligence Team em uma nova análise. Dada a geografia dos alvos e a atual situação geopolítica, é improvável que o agente da ameaça RomCom RAT seja motivado por crimes cibernéticos.
Os hackers também foram observados utilizando variantes trojanizadas do Advanced IP Scanner e pdfFiller como droppers para distribuir o malware.
A campanha envolve a criação de sites falsos e com domínios semelhantes aos fabricantes, para realizar o upload de um instalador do software malicioso com malware e, em seguida, o envio de e-mails de phishing para as vítimas.
Os pesquisadores acrescentam:
Ao baixar uma avaliação gratuita do site falsificado da SolarWinds, um formulário de registro legítimo aparece.
Se preenchido, o pessoal de vendas real da SolarWinds pode entrar em contato com a vítima para acompanhar o teste do produto. Essa técnica induz a vítima a acreditar que o aplicativo recém-baixado e instalado é completamente legítimo.
Não é apenas o software SolarWinds. Outras versões trojanizadas envolvem o popular gerenciador de senhas KeePass e PDF Reader Pro, inclusive no idioma ucraniano.
O uso do RomCom RAT também foi vinculado a hackers associados ao ransomware Cuba e ao Industrial Spy, de acordo com a Palo Alto Networks Unit 42, que está rastreando o grupo de ransomware sob o nome Tropical Scorpius.
Fonte: The Hacker News
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk
