Ερευνητές ανακάλυψαν μια νέα κακόβουλη καμπάνια που διανέμει το RomCom backdoor malware μέσω phishing μηνυμάτων και Google ads που υποτίθεται ότι προωθούν δημοφιλείς υπηρεσίες και λογισμικά, όπως το ChatGPT, το GIMP και άλλα.

Η τελευταία καμπάνια αποκαλύφθηκε από την Trend Micro, η οποία παρακολουθεί το RomCom από το καλοκαίρι του 2022. Σύμφωνα με τους ερευνητές, οι χειριστές του backdoor έχουν προσθέσει νέες δυνατότητες και εντολές στο εργαλείο, ενώ έχουν φροντίσει να δυσκολέψουν και τον εντοπισμό του χρησιμοποιώντας encryption και obfuscation.

Οι περισσότεροι ιστότοποι που χρησιμοποιούνται για τη διανομή του RomCom backdoor malware σχετίζονται με desktop management applications.

Δείτε επίσης: WordPress: Αυτόματη ενημέρωση για διόρθωση ευπάθειας στο Jetpack plugin

RomCom backdoor: Σύνδεση με Cuba ransomware

Η πρώτη τεκμηριωμένη χρήση του RomCom αναφέρθηκε τον Αύγουστο του 2022 από την Palo Alto Networks. Τότε, οι ερευνητές είχαν αποδώσει τις επιθέσεις σε συνεργάτες της συμμορίας Cuba ransomware, τους οποίους ονόμασαν “Tropical Scorpius“. Η Trend Micro χρησιμοποιεί το όνομα “Void Rabisu” για την ίδια ομάδα.

Τον Οκτώβριο του 2022, το CERT-UA της Ουκρανίας ανέφερε ότι το RomCom malware χρησιμοποιήθηκε σε επιθέσεις εναντίον κρίσιμων δικτύων στη χώρα.

Μια άλλη έκθεση από την BlackBerry ανέφερε, επίσης, σύνδεση με το Cuba ransomware, αλλά επιβεβαίωσε και τις επιθέσεις στην Ουκρανία, ενώ ανέφερε επίσης ότι υπήρχαν θύματα στις Ηνωμένες Πολιτείες, τη Βραζιλία και τις Φιλιππίνες.

Άλλη μια έκθεση της BlackBerry, τον Νοέμβριο του 2022, απέδειξε πως το RomCom μιμούνταν νόμιμα λογισμικά για να ξεγελάσει τους χρήστες (π.χ. SolarWinds Network Performance Monitor (NPM), KeePass password manager και PDF Reader Pro).

Δείτε επίσης: Τράπεζα Θεμάτων DDoS επίθεση: Συμπέρασμα τεχνικής ανάλυσης

RomCom backdoor malware: Νέα εκστρατεία

Η αναφορά της Trend Micro σχετικά με την πιο πρόσφατη δραστηριότητα του RomCom παραθέτει αρκετά παραδείγματα ιστότοπων που χρησιμοποιήθηκαν από τους χειριστές του malware μεταξύ Δεκεμβρίου 2022 και Απριλίου 2023. Αυτοί οι ιστότοποι υποδύονται νόμιμο λογισμικό, όπως τα Gimp, Go To Meeting, ChatGPT, WinDirStat, AstraChat, System Ninja, Devolutions’ Remote Desktop Manager και άλλα.

Μερικοί από τους κακόβουλους ιστότοπους που χρησιμοποιήθηκαν αυτό το διάστημα είναι:

  • gllmp.com (offline) – Μιμείται το δωρεάν πρόγραμμα επεξεργασίας εικόνων
  • gotomeet.us (offline) – Μιμείται την εφαρμογή τηλεδιασκέψεων στο cloud
  • singularlabs.org (offline) – Υποδύεται ένα εργαλείο καθαρισμού υπολογιστή
  • chatgpt4beta.com (online) – Μιμείται την πλατφόρμα chatbot που υποστηρίζεται από AI
  • astrachats.com (offline) – Μιμείται το λογισμικό ασφαλούς συνομιλίας
  • devolutionrdp.com (online) – Μιμείται ένα εργαλείο remote desktop management
  • cozy-sofware.com (offline) – Μιμείται ένα εργαλείο remote desktop management
  • vectordmanagesoft.com (offline) – Μιμείται ένα εργαλείο remote desktop management
  • devolrdm.com (online) – Μιμείται ένα εργαλείο remote desktop management
  • dirwinstat.com (online) – Μιμείται ένα εργαλείο προβολής χρήσης δίσκου και καθαρισμού

Αυτοί οι ψεύτικοι ιστότοποι προωθούνται μέσω Google Ads και άκρως στοχευμένων μηνυμάτων phishing. Τα περισσότερα θύματα φαίνεται να βρίσκονται στην Ανατολική Ευρώπη

.

Τα κακόβουλα sites διανέμουν MSI installers που υποδύονται την εφαρμογή που επιλέγει ο χρήστης, αλλά είναι μολυσμένη με ένα κακόβουλο αρχείο DLL (“InstallA.dll”).

Αυτό το αρχείο εξάγει άλλα τρία DLL στο φάκελο %PUBLIC%\Libraries του θύματος, ο οποίος χειρίζεται τις επικοινωνίες του command and controll server και την εκτέλεση εντολών.

Η τελευταία έκδοση του RomCom payload που ανέλυσαν οι ερευνητές της Trend Micro, δείχνει ότι οι δημιουργοί του backdoor malware έχουν εργαστεί για την εφαρμογή πρόσθετων κακόβουλων εντολών (ο αριθμός των εντολών έχει αυξηθεί από 20 σε 42).

Μερικές από τις εντολές περιλαμβάνουν την εγκατάσταση ενός αρχείου για την εγκατάσταση πρόσθετων κακόβουλων payloads, την κλοπή δεδομένων, την ενημέρωση του malware στη συσκευή, την εκτέλεση του AnyDesk σε ένα κρυφό παράθυρο και πολλά άλλα.

Αυτές οι εντολές ήδη δίνουν στους επιτιθέμενους πολλά προνόμια, αλλά η Trend Micro αναφέρει ότι έχει δει αρκετές περιπτώσεις πρόσθετων malware payloads που εγκαθίστανται μέσω του RomCom.

Δείτε επίσης: RaidForums: Νέο hacking φόρουμ διαρρέει δεδομένα 478.000 μελών του

Το εργαλείο περιλαμβάνει ακόμα και κάποια components που του επιτρέπουν να τραβά screenshots της οθόνης του θύματος, να κλέβει browser cookies, crypto wallets, συνομιλίες και FTP credentials.

Τέλος, όπως είπαμε και παραπάνω, οι χειριστές του RomCom backdoor malware έχουν φροντίσει να δυσκολέψουν τον εντοπισμό του κακόβουλου εργαλείου.

Το RomCom έχει συσχετιστεί με ransomware και κατασκοπεία και οι ακριβείς στόχοι των χειριστών παραμένουν ασαφείς.

Περισσότερες λεπτομέρειες μπορείτε να μάθετε στην έκθεση της Trend Micro.

Το backdoor malware αποτελεί σοβαρή απειλή για την ασφάλεια στον κυβερνοχώρο και είναι επιτακτική ανάγκη να λάβετε προληπτικά μέτρα για να διασφαλίσετε ότι το σύστημά σας προστατεύεται. Κατανοώντας πώς λειτουργεί αυτός ο τύπος malware και αναγνωρίζοντας τα σημάδια μόλυνσης, μπορείτε να βοηθήσετε τον εαυτό σας και τον οργανισμό σας να παραμείνει ασφαλής. Αν και δεν υπάρχει αλάνθαστη μέθοδος για την πρόληψη του backdoor malware, ένας συνδυασμός τεχνικών λύσεων και βέλτιστων πρακτικών που προάγουν την κυβερνοασφάλεια μπορεί να βοηθήσει πολύ στην προστασία σας.

Πηγή: www.bleepingcomputer.com