Зловмисники за допомогою шкідливого ПЗ RomCom RAT продовжують розповсюджувати фальшиві версії SolarWinds Network Performance Monitor, KeePass Password Manager і PDF Reader Pro через фальшиві вебсайти.
Від цієї атаки, здебільшого постраждали користувачі з України та деяких англомовних країн, зокрема Великобританії.
«Враховуючи географію цілей і поточну геополітичну ситуацію, малоймовірно, що саме кіберзлочинність є мотивом», заявила команда BlackBerry Threat Research and Intelligence у новому аналізі.
Останні докази з’явилися через тиждень після того, як канадська компанія розкрила фішингову кампанію, спрямовану на українські організації з метою розгортання трояна віддаленого доступу під назвою RomCom RAT.
Також було помічено, що невідомий зловмисник використовує троянські варіанти Advanced IP Scanner і pdfFiller для розповсюдження шкідливого ПЗ.
Скоріше за все, троян активно розробляється з квітня і вважається потужнішим, ніж звичайні RAT. Він збирає інформацію про систему, локально встановлені програми та процеси у пам’яті. Далі, вірус робить знімки екрана та передає зібрані дані на сервер C2, а також може автоматично видаляти інформацію з комп’ютера жертви.
Фальшивий вебсайт Keypass
Фальшивий вебсайт SolarWinds
«Під час завантаження безкоштовної пробної версії з підробленого сайту SolarWinds з’являється оригінальна реєстраційна форма», — пояснили дослідники.
«Така техніка вводить користувача в оману і відводить всі підозри від нещодавно встановленої програми».
Це стосується не лише SolarWinds. Зловмисниками також було фальсифіковано популярний менеджер паролів KeePass і PDF Reader Pro, в тому числі українською мовою.
Також, Unit 42 Palo Alto Networks помітив зв’язок RomCom RAT з програмою-вимагачем Cuba та Industrial Spy, що були поширені групою зловмисників під псевдонімом Tropical Scorpius.
«Подібність RomCom з Cuba Ransomware та Industrial Spy базується на схожих конфігураціях мережі. Вони також могли бути використані як відволікаючий фактор», — коментує BlackBerry. Industrial Spy — це відносно нова група програм-вимагачів, яка з’явилася у квітні 2022 року. Однак, враховуючи географію та націленість вірусу у поєднанні з поточною геополітичною ситуацією, незрозуміло яка справжня мотивація у зловмисників. Очевидно, що не фінансова.
Unit 42 повідомив, що також виявив екземпляр RomCom RAT, запакований як інсталятор для програмного забезпечення резервного копіювання та реплікації Veeam, який розміщено на шкідливому домені під назвою «wveeam[.]com».
Як і у випадку з SolarWinds, завантаження файлу інсталятора перенаправляє жертву до форми, яка пропонує ввести свої особисті дані. На додаток, розмір зміненого інсталятора перевищує 10 ГБ, що дозволяє йому обходити автоматизовані рішення безпеки.
