El personal militar y los líderes políticos de la Unión Europea que trabajan en iniciativas de igualdad de género se han convertido en el objetivo de una nueva campaña que ofrece una versión actualizada de RomCom RAT llamada PEAPOD.
La empresa de ciberseguridad Trend Micro atribuyó los ataques a un actor de amenazas que rastrea con el nombre Void Rabisu, que también se conoce como Storm-0978, Tropical Scorpius y UNC2596, y también se cree que está asociado con el ransomware Cuba.
El colectivo adversario es un grupo algo inusual en el sentido de que lleva a cabo ataques por motivos financieros y de espionaje, desdibujando la línea entre sus modos de operación. También está vinculado exclusivamente al uso de RomCom RAT.
Los ataques que implican el uso de la puerta trasera han señalado a Ucrania y a los países que apoyan a Ucrania en su guerra contra Rusia durante el año pasado.
A principios de julio, Microsoft implicó a Void Rabisu con la explotación de CVE-2023-36884, una falla de ejecución remota de código en Office y Windows HTML, mediante el uso de documentos señuelo de Microsoft Office especialmente diseñados relacionados con el Congreso Mundial de Ucrania.
RomCom RAT es capaz de interactuar con un servidor de comando y control (C&C) para recibir comandos y ejecutarlos en la máquina de la víctima, al mismo tiempo que incorpora técnicas de evasión de defensa, lo que marca una evolución constante en su sofisticación.
El malware generalmente se distribuye a través de correos electrónicos de phishing altamente dirigidos y anuncios falsos en motores de búsqueda como Google y Bing para engañar a los usuarios para que visiten sitios señuelo que albergan versiones troyanizadas de aplicaciones legítimas.
«Void Rabisu es uno de los ejemplos más claros donde vemos una mezcla de tácticas, técnicas y procedimientos (TTP) típicos utilizados por actores de amenazas cibercriminales y TTP utilizados por actores de amenazas patrocinados por estados-nación motivados principalmente por objetivos de espionaje», Trend Micro dicho.
El último conjunto de ataques detectados por la compañía en agosto de 2023 también entrega RomCom RAT, solo que es una iteración actualizada y reducida del malware que se distribuye a través de un sitio web llamado wplsummit.[.]com, que es una réplica del wplsummit legítimo[.]dominio de la organización.
En el sitio web hay un enlace a una carpeta de Microsoft OneDrive que aloja un ejecutable llamado «Imágenes no publicadas 1-20230802T122531-002-sfx.exe», un archivo de 21,6 MB que pretende imitar una carpeta que contiene fotografías de Mujeres Líderes Políticas (WPL). ) Cumbre que tuvo lugar en junio de 2023.
El binario es un descargador que coloca 56 imágenes en el sistema de destino como señuelo, mientras recupera un archivo DLL de un servidor remoto. Se dice que estas fotos fueron obtenidas por el actor malicioso a partir de publicaciones individuales en varias plataformas de redes sociales como LinkedIn, X (anteriormente conocido como Twitter) e Instagram.
El archivo DLL, por su parte, establece contacto con otro dominio para recuperar el artefacto PEAPOD de tercera etapa, que admite 10 comandos en total, frente a los 42 comandos admitidos por su predecesor.
La versión revisada está equipada para ejecutar comandos arbitrarios, descargar y cargar archivos, obtener información del sistema e incluso desinstalarse del host comprometido. Al reducir el malware a sus características más esenciales, la idea es limitar su huella digital y complicar los esfuerzos de detección.
«Aunque no tenemos evidencia de que Void Rabisu esté patrocinado por un estado-nación, es posible que sea uno de los actores de amenazas con motivación financiera del mundo criminal clandestino que se vio arrastrado a actividades de ciberespionaje debido a las extraordinarias circunstancias geopolíticas causadas por la guerra en Ucrania. «, dijo Trend Micro.