Les opérateurs de RomCom RAT continuent de faire évoluer leurs campagnes avec des versions malveillantes de logiciels tels que SolarWinds Network Performance Monitor, le gestionnaire de mots de passe KeePass et PDF Reader Pro.
Les cibles de l’opération sont des victimes en Ukraine et certains pays anglophones comme le Royaume-Uni
« Compte tenu de la géographie des cibles et de la situation géopolitique actuelle, il est peu probable que l’acteur de la menace RomCom RAT soit motivé par la cybercriminalité », a déclaré l’équipe BlackBerry Threat Research and Intelligence. a dit dans une nouvelle analyse.
Les dernières découvertes surviennent une semaine après que la société canadienne de cybersécurité a divulgué une campagne de harponnage visant des entités ukrainiennes pour déployer un cheval de Troie d’accès à distance appelé RomCom RAT.
L’acteur inconnu de la menace a également été observé en utilisant des variantes trojanisées d’Advanced IP Scanner et de pdfFiller comme compte-gouttes pour distribuer l’implant.
La dernière itération de la campagne implique la mise en place de sites Web leurres avec un nom de domaine similaire, suivi du téléchargement d’un ensemble d’installation contenant des logiciels malveillants du logiciel malveillant, puis de l’envoi d’e-mails de phishing aux victimes ciblées.
 |
| Faux site Web Keypass |
 |
| Faux site Web SolarWinds |
« Lors du téléchargement d’un essai gratuit à partir du site falsifié de SolarWinds, un formulaire d’inscription légitime apparaît », ont expliqué les chercheurs.
« Si elle est remplie, le vrai personnel de vente de SolarWinds pourrait contacter la victime pour assurer le suivi de l’essai du produit. Cette technique induit la victime en erreur en lui faisant croire que l’application récemment téléchargée et installée est tout à fait légitime. »
Ce n’est pas seulement le logiciel SolarWinds. D’autres versions usurpées impliquent le populaire gestionnaire de mots de passe KeePass et PDF Reader Pro, y compris en ukrainien.
L’utilisation de RomCom RAT a également été liée à des acteurs de la menace associés au rançongiciel Cuba et Espion industrielselon l’unité 42 de Palo Alto Networks, qui suit le groupe de rançongiciels sous le surnom de la constellation Tropical Scorpius.
Compte tenu de la nature interconnectée de l’écosystème cybercriminel, il n’est pas immédiatement évident si les deux ensembles d’activités partagent des connexions ou si le logiciel malveillant est proposé à la vente en tant que service à d’autres acteurs de la menace.