Los desarrolladores del RAT RomCom están llevando a cabo una nueva campaña de ataque suplantando la marca de SolarWinds, KeePass y PDF Technologies.
Los objetivos de la operación son las víctimas de Ucrania y de algunos países de habla inglesa, como el Reino Unido.
«Dada la geografía de los objetivos y la situación geopolítica actual, es poco probable que los desarrolladores de RomCom RAT estén motivados por la ciberdelincuencia», dijo el Equipo de Threat Intelligence de BlackBerry en un nuevo análisis.
Los últimos hallazgos se han producido una semana más tarde del descubrimiento de una camapaña de «spear-phishing». Esta iba dirigida a entidades ucranianas con la finalidad de desplegar un RAT.
El atacante también ha sido observado aprovechando variantes troyanizadas de ‘Advanced IP Scanner’ y ‘pdfFiller’ como droppers para distribuir el malware.
Los últimos avances de la campaña implicaban la creación de páginas de phishing con un nombre de dominio similar, seguido de la carga de un paquete de instalación del software malicioso. Por último se procede al envío de correos electrónicos con el phishing a la víctima.
Una vez descargado el keepass troyanizado encontramos los siguientes archivos.
Setup.exe – El archivo que lanza el dropper de RomCom RAT: PDB C:Users123sourcereposins_asiWin32Releasesetup.pdb
hlpr.dat – es un dropper de RomCom RAT.
Los atacantes detrás de RomCom estan desplegando activamente nuevas campañas dirigidas a víctimas en Ucrania y a objetivos de habla inglesa en todo el mundo. Basándose en las condiciones de servicio, es posible que las víctimas del Reino Unido sean un nuevo objetivo, mientras que Ucrania sigue siendo el foco principal.
Más información:
RomCom Threat Actor Abuses KeePass and SolarWinds to Target Ukraine and Potentially the United Kingdom https://blogs.blackberry.com/en/2022/11/romcom-spoofing-solarwinds-keepass
La entrada Detectadas versiones falsas de KeePass y SolarWinds distribuyen el RAT RomCom se publicó primero en Una al Día.
