Uma nova variante leve do backdoor RomCom foi implantada contra os participantes do Women Political Leaders (WPL) Summit em Bruxelas, um evento focado na igualdade de gênero e mulheres na política.
A campanha usou um site falso imitando o portal oficial do WPL para atrair pessoas que procuram comparecer ou simplesmente estão interessadas na cúpula.
Um relatório da Trend Micro analisando a nova variante adverte que seus operadores, rastreados pela empresa como 'Void Rabisu', têm usado um backdoor mais discreto com uma nova técnica de imposição de TLS nas comunicações C2 (comando e controle) para tornar a descoberta mais difícil.
Além disso, o último ataque solidifica a mudança do grupo de ataques de ransomware oportunísticos previamente atribuídos a um afiliado de ransomware de Cuba para uma campanha de ciberespionagem de alto nível envolvendo a exploração de vulnerabilidades de dia zero em produtos da Microsoft.
Em agosto de 2023, Void Rabisu criou um site malicioso no endereço 'wplsummit[.]com', projetado para imitar o site real do Women Political Leaders (WPL) hospedado em wplsummit.org.
O site falso estava vinculado a uma pasta OneDrive através de um botão nomeado 'Vídeos & Fotos', que continha imagens dos dois dias do evento, tiradas do site genuíno, e um downloader de malware chamado 'Fotos Não Publicadas'.
O arquivo executável maligno é assinado por um certificado da Elbor LLC e é um arquivo autoextraível contendo 56 fotos para agir como iscas, enquanto um segundo arquivo criptografado é baixado de um host remoto.
O segundo payload é uma DLL que é descriptografada e carregada na memória para evitar a detecção e continua a buscar componentes adicionais necessários para estabelecer comunicação com o servidor do atacante.
A Trend Micro identifica a última variante simplificada do RomCom como a quarta versão principal do backdoor, explicando que é o mesmo malware que os pesquisadores da Volexity recentemente chamaram de 'Peapod'.
Em comparação com o RomCom 3.0, a versão anterior vista nas operações do Void Rabisu, a nova variante de backdoor sofreu mudanças significativas, tornando-se mais leve e discreta.
Agora suporta apenas os seguintes dez comandos, uma redução significativa dos 42 anteriores.
Além disso, em vez de utilizar MSIs modificados para colocar seus componentes diretamente nos dispositivos, a nova variante usa um arquivo EXE para buscar DLLs criptografadas XOR, carregando todos os seus componentes na memória.
O RomCom 4.0 também incorporou novos recursos relacionados à Segurança de Camada de Transporte (TLS), um protocolo projetado para fornecer comunicação segura com o servidor C2.
O malware foi codificado para forçar as funções WinHTTP a usar especificamente a versão 1.2 do TLS, em vez de permitir que o sistema operacional escolha a versão padrão do TLS.
Este sistema de imposição resulta em um erro no Windows 7, que a Trend Micro considera seguro contra a mais nova variante do RomCom.
O objetivo deste mecanismo é provavelmente tornar a comunicação C2 mais resistente à espionagem, complicar a descoberta automatizada e possivelmente permitir que os atacantes filtrem vítimas inadequadas.
Em geral, as táticas do Void Rabisu e a implantação do malware RomCom permanecem obscuras.
No entanto, está claro que o desenvolvimento do backdoor ainda está em andamento e seus operadores estão cada vez mais focados na ciberespionagem de alto nível.
A Trend Micro conclui que é muito provável que o Void Rabisu atacará todas as grandes conferências relacionadas a grupos de interesse especial, por isso é aconselhável ter cautela ao visitar sites de eventos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...