Cúpula de Líderes Políticas Femininas visada em ataque de phishing de malware RomCom
16 de Outubro de 2023

Uma nova variante leve do backdoor RomCom foi implantada contra os participantes do Women Political Leaders (WPL) Summit em Bruxelas, um evento focado na igualdade de gênero e mulheres na política.

A campanha usou um site falso imitando o portal oficial do WPL para atrair pessoas que procuram comparecer ou simplesmente estão interessadas na cúpula.

Um relatório da Trend Micro analisando a nova variante adverte que seus operadores, rastreados pela empresa como 'Void Rabisu', têm usado um backdoor mais discreto com uma nova técnica de imposição de TLS nas comunicações C2 (comando e controle) para tornar a descoberta mais difícil.

Além disso, o último ataque solidifica a mudança do grupo de ataques de ransomware oportunísticos previamente atribuídos a um afiliado de ransomware de Cuba para uma campanha de ciberespionagem de alto nível envolvendo a exploração de vulnerabilidades de dia zero em produtos da Microsoft.

Em agosto de 2023, Void Rabisu criou um site malicioso no endereço 'wplsummit[.]com', projetado para imitar o site real do Women Political Leaders (WPL) hospedado em wplsummit.org.

O site falso estava vinculado a uma pasta OneDrive através de um botão nomeado 'Vídeos & Fotos', que continha imagens dos dois dias do evento, tiradas do site genuíno, e um downloader de malware chamado 'Fotos Não Publicadas'.

O arquivo executável maligno é assinado por um certificado da Elbor LLC e é um arquivo autoextraível contendo 56 fotos para agir como iscas, enquanto um segundo arquivo criptografado é baixado de um host remoto.

O segundo payload é uma DLL que é descriptografada e carregada na memória para evitar a detecção e continua a buscar componentes adicionais necessários para estabelecer comunicação com o servidor do atacante.

A Trend Micro identifica a última variante simplificada do RomCom como a quarta versão principal do backdoor, explicando que é o mesmo malware que os pesquisadores da Volexity recentemente chamaram de 'Peapod'.

Em comparação com o RomCom 3.0, a versão anterior vista nas operações do Void Rabisu, a nova variante de backdoor sofreu mudanças significativas, tornando-se mais leve e discreta.

Agora suporta apenas os seguintes dez comandos, uma redução significativa dos 42 anteriores.

Além disso, em vez de utilizar MSIs modificados para colocar seus componentes diretamente nos dispositivos, a nova variante usa um arquivo EXE para buscar DLLs criptografadas XOR, carregando todos os seus componentes na memória.

O RomCom 4.0 também incorporou novos recursos relacionados à Segurança de Camada de Transporte (TLS), um protocolo projetado para fornecer comunicação segura com o servidor C2.

O malware foi codificado para forçar as funções WinHTTP a usar especificamente a versão 1.2 do TLS, em vez de permitir que o sistema operacional escolha a versão padrão do TLS.

Este sistema de imposição resulta em um erro no Windows 7, que a Trend Micro considera seguro contra a mais nova variante do RomCom.

O objetivo deste mecanismo é provavelmente tornar a comunicação C2 mais resistente à espionagem, complicar a descoberta automatizada e possivelmente permitir que os atacantes filtrem vítimas inadequadas.

Em geral, as táticas do Void Rabisu e a implantação do malware RomCom permanecem obscuras.

No entanto, está claro que o desenvolvimento do backdoor ainda está em andamento e seus operadores estão cada vez mais focados na ciberespionagem de alto nível.

A Trend Micro conclui que é muito provável que o Void Rabisu atacará todas as grandes conferências relacionadas a grupos de interesse especial, por isso é aconselhável ter cautela ao visitar sites de eventos.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...