Uma nova campanha distribuindo o malware backdoor RomCom está se fazendo passar por sites de software conhecidos ou fictícios, enganando usuários para baixar e lançar instaladores maliciosos.
A mais recente campanha foi descoberta pela Trend Micro, que vem acompanhando o RomCom desde o verão de 2022.
Os pesquisadores relatam que os atores por trás do malware escalaram sua evasão usando criptografia e obfuscação de payloads e expandiram as capacidades da ferramenta introduzindo novos e poderosos comandos.
A maioria dos sites usados para distribuir o RomCom para as vítimas diz respeito a aplicativos de gerenciamento de desktop remoto, o que aumenta a probabilidade de os atacantes empregarem phishing ou engenharia social para abordar seus alvos.
O primeiro uso documentado do RomCom foi relatado em agosto de 2022 pela Palo Alto Networks, atribuindo os ataques a um afiliado de ransomware de Cuba que eles chamaram de 'Tropical Scorpius'.
A Trend Micro usa 'Void Rabisu' para rastrear o mesmo ator.
Em outubro de 2022, o CERT-UA da Ucrânia informou que o malware RomCom estava sendo usado em ataques contra redes críticas no país.
Outro relatório publicado quase simultaneamente pela BlackBerry afirmou a associação com ransomware de Cuba, mas confirmou os ataques na Ucrânia, indicando também que havia vítimas de malware nos Estados Unidos, Brasil e Filipinas.
Um relatório subsequente da BlackBerry em novembro de 2022 ilustrou como o RomCom se faz passar por software legítimo, incluindo o SolarWinds Network Performance Monitor (NPM), o gerenciador de senhas KeePass e o PDF Reader Pro.
O relatório da Trend Micro sobre a última atividade do RomCom lista vários exemplos de sites usados pelos operadores de malware entre dezembro de 2022 e abril de 2023, que se fazem passar por software legítimo, como Gimp, Go To Meeting, ChatGPT, WinDirStat, AstraChat, System Ninja, Remote Desktop Manager da Devolutions e outros.
Esses sites falsos são promovidos através de anúncios do Google e e-mails de phishing altamente direcionados, com a maioria das vítimas baseadas na Europa Oriental.
Os sites distribuem instaladores MSI que se fazem passar pelo aplicativo prometido, mas são trojanizados com um arquivo DLL malicioso ("InstallA.dll").
Este arquivo extrai mais três DLLs na pasta %PUBLIC%\Libraries do computador da vítima, que gerencia as comunicações e a execução de comando e controle.
A versão mais recente do payload do RomCom analisado pela Trend Micro mostra que seus autores trabalharam para implementar comandos maliciosos adicionais, com o número de comandos crescendo de 20 para 42.
Esses comandos já dão aos atacantes capacidades extensas, mas a empresa de segurança cibernética relata ter visto vários casos de cargas adicionais de malware sendo instaladas por meio do RomCom.
Os componentes Stealer baixados pelo RomCom em dispositivos comprometidos incluem:
Os autores do RomCom agora usam o software VMProtect para proteção de código e capacidades anti-VM.
Além disso, usa criptografia para o payload, cuja chave não é codificada, mas buscada por um endereço externo.
O malware usa bytes nulos em sua comunicação C2 para evitar a detecção de ferramentas de monitoramento de rede.
Finalmente, o software baixado dos sites maliciosos é assinado por empresas aparentemente legítimas supostamente sediadas nos EUA e no Canadá, cujos sites estão repletos de conteúdo falso ou plagiado.
O RomCom foi associado a ransomware, espionagem e guerra, e os objetivos exatos de seus operadores permanecem obscuros.
Seja qual for o caso, é uma ameaça versátil que pode causar danos significativos.
A Trend Micro forneceu uma lista abrangente de indicadores de comprometimento (IoCs) para a última campanha do RomCom e regras Yara para ajudar os defensores a detectar e interromper os ataques.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...