Se ha observado que el actor de amenazas detrás de un troyano de acceso remoto llamado RomCom RAT apunta a instituciones militares ucranianas como parte de una nueva campaña de phishing dirigido que comenzó el 21 de octubre de 2022.
El desarrollo marca un cambio en el modus operandi del atacante, que anteriormente se atribuía a la falsificación de aplicaciones legítimas como Advanced IP Scanner y pdfFiller para abrir puertas traseras en sistemas comprometidos.
“La campaña inicial de ‘Escáner de IP avanzado’ ocurrió el 23 de julio de 2022”, dijo el equipo de investigación e inteligencia de BlackBerry. dijo. “Una vez que la víctima instala un paquete troyano, deja caer RomCom RAT en el sistema”.
Si bien las iteraciones anteriores de la campaña involucraron el uso de Advanced IP Scanner troyano, el colectivo adversario no identificado cambió a pdfFiller a partir del 20 de octubre, lo que indica un intento activo por parte del adversario de refinar las tácticas y frustrar la detección.
Estos sitios web similares alojan un paquete de instalación no autorizado que da como resultado la implementación de RomCom RAT, que es capaz de recopilar información y capturar capturas de pantalla, todo lo cual se exporta a un servidor remoto.
La última actividad del adversario dirigida contra el ejército ucraniano es una desviación, ya que emplea un correo electrónico de phishing con un enlace incrustado como vector de infección inicial, lo que lleva a que un sitio web falso deje caer el descargador de la siguiente etapa.
Este programa de descarga, firmado con un certificado digital válido de “Blythe Consulting sp. z oo” para una capa adicional de evasión, luego se usa para extraer y ejecutar el malware RomCom RAT. BlackBerry dijo que la versión legítima de pdfFiller utiliza el mismo firmante.
Además del ejército ucraniano, otros objetivos de la campaña incluyen empresas de TI, corredores de alimentos y entidades de fabricación de alimentos en los EE. UU., Brasil y Filipinas.
“Esta campaña es un buen ejemplo de la línea borrosa entre los actores de amenazas motivados por delitos cibernéticos y los actores de amenazas de ataques dirigidos”, dijo a The Hacker News Dmitry Bestuzhev, investigador de amenazas de BlackBerry.
“En el pasado, ambos grupos actuaban de forma independiente, confiando en diferentes herramientas. Hoy en día, los actores de amenazas de ataques dirigidos confían más en las herramientas tradicionales, lo que dificulta la atribución”.