Istraživači bezbjednosti upozorili su na trojanac sa daljinskim pristupom RomCom RAT koji se krije u lažnim verzijama softvera SolarWinds Network Performance Monitor, menadžer lozinki KeePass, PDF Reader Pro i Veeam Backup and Recoveri softver, koji se nude na lažnim web sajtovima
Ciljevi sajber-kriminalaca koji šire RomCom RAT trojanac su u Ukrajini i određenim zemljama engleskog govornog područja poput Velike Britanije.
„S obzirom na geografiju meta i trenutnu geopolitičku situaciju, malo je vjerovatno da je RomCom RAT akter prijetnje motivisan sajber kriminalom“, kažu istraživači iz BlackBerry-jevog Threat Research and Intelligence tima.
Njihovo upozorenje uslijedilo je nedjelju dana nakon što je kanadska kompanija za sajber bezbjednost otkrila ciljanu fišing kampanju usmjerenu na ukrajinske entitete, u kojoj se takođe distribuirao trojanac za daljinski pristup RomCom RAT. Nepoznati napadači su koristili trojanizovane varijante Advanced IP Scanner i pdfFiller kao droppere za preuzimanje malvera.
U najnovijoj kampanji napadači koriste lažne web sajtove sa sličnim imenom domena kao originalni sajtovi, na kojima se nalaze programi za instalaciju malvera predstavljeni kao legitiman softver, a potencijalnim žrtvama napadači šalju fišing emailove sa linkom koji ih dovodi do lažnih sajtova.
„Dok preuzimate besplatnu probnu verziju sa lažnog web sajta SolarWinds-a, pojavljuje se legitimni obrazac za registraciju“, objasnili su istraživači. „Ako se popuni, pravi prodavci SolarWinds-a mogli bi kontaktirati žrtvu. Ta taktika dovodi žrtvu u zabludu da je nedavno preuzeta i instalirana aplikacija potpuno legitimna“.
Osim SolarWinds-a, napadači na isti način zloupotrebljavaju popularni menadžer lozinki KeePass i PDF Reader Pro, prenosi Informacija.rs.
Upotreba RomCom RAT-a je takođe povezana sa sajber-kriminalcima povezanim sa ransomware-om Cuba i malverom Industrial Spy.
S obzirom na međusobno povezanu prirodu ekosistema sajber kriminala, nije jasno da li su u pitanju isti napadači ili se malver nudi na prodaju kao usluga drugim sajber-kriminalcima.
(Heimdal security)