Istraživači bezbjednosti  upozorili su na trojanac sa daljinskim pristupom RomCom RAT koji se krije u lažnim verzijama softvera SolarWinds Network Performance Monitor, menadžer lozinki KeePass, PDF Reader Pro i Veeam Backup and Recoveri softver, koji se nude na lažnim web sajtovima

 

Ciljevi sajber-kriminalaca koji šire RomCom RAT trojanac su u Ukrajini i određenim zemljama engleskog govornog područja poput Velike Britanije.

„S obzirom na geografiju meta i trenutnu geopolitičku situaciju, malo je vjerovatno da je RomCom RAT akter prijetnje motivisan sajber kriminalom“, kažu istraživači iz BlackBerry-jevog Threat Research and Intelligence tima.

Njihovo upozorenje uslijedilo je nedjelju dana nakon što je kanadska kompanija za sajber bezbjednost otkrila ciljanu fišing kampanju usmjerenu na ukrajinske entitete, u kojoj se takođe distribuirao trojanac za daljinski pristup RomCom RAT. Nepoznati napadači su koristili trojanizovane varijante Advanced IP Scanner i pdfFiller kao droppere za preuzimanje malvera.

U najnovijoj kampanji napadači koriste lažne web sajtove sa sličnim imenom domena kao originalni sajtovi, na kojima se nalaze programi za instalaciju malvera predstavljeni kao legitiman softver, a potencijalnim žrtvama napadači šalju fišing emailove sa linkom koji ih dovodi do lažnih sajtova.

„Dok preuzimate besplatnu probnu verziju sa lažnog web sajta SolarWinds-a, pojavljuje se legitimni obrazac za registraciju“, objasnili su istraživači. „Ako se popuni, pravi prodavci SolarWinds-a mogli bi kontaktirati žrtvu. Ta taktika dovodi žrtvu u zabludu da je nedavno preuzeta i instalirana aplikacija potpuno legitimna“.

Osim SolarWinds-a, napadači na isti način zloupotrebljavaju popularni menadžer lozinki KeePass i PDF Reader Pro, prenosi Informacija.rs.

Upotreba RomCom RAT-a je takođe povezana sa sajber-kriminalcima povezanim sa ransomware-om Cuba i malverom Industrial Spy.

S obzirom na međusobno povezanu prirodu ekosistema sajber kriminala, nije jasno da li su u pitanju isti napadači ili se malver nudi na prodaju kao usluga drugim sajber-kriminalcima.

(Heimdal security)

 

Dopada vam se  IT-mixer? Podržite nas putem društvenih mreža na linkovima ispod. Lajkujte našu stranicu na Facebooku, budite informisani u svakom momentu.