RomCom RAT : attention, le cheval de Troie se fait passer pour des logiciels bien connus !

Des hackers utilisent des versions des logiciels SolarWinds, PDF Reader Pro ou KeePass pour diffuser le trojan RomCom RAT en Ukraine notamment.

Usurper des logiciels très utilisés par des professionnels et des particuliers fait partie des techniques des pirates informatiques pour diffuser leurs malwares. Le groupe qui opère le cheval de Troie RomCom RAT a dernièrement fait évoluer son vecteur d’attaque et sa campagne pour diffuser l’outil malveillant en se jouant de logiciels populaires.

Une campagne malveillante qui touche principalement l’Ukraine et les pays anglophones

La société BlackBerry, qui sécurise aujourd’hui plus de 500 millions de terminaux, vient de lancer un service de renseignement et d’étude sur les cybermenaces. Elle a repéré des campagnes de diffusion de RomCom RAT au sein d’institutions militaires ukrainiennes et de certains pays anglophones comme le Royaume-Uni. Les chercheurs ont découvert que le groupe derrière ce cheval de Troie utilisait des versions malveillantes des logiciels SolarWinds Network Performance Monitor, PDF Reader Pro et du gestionnaire de mots de passe KeePass.

Le bureau d’études de la menace cyber de Palo Alto Networks, Unit 42, a également découvert que la solution de sauvegarde et de restauration des données Veeam Backup and Recovery est venue s’ajouter à la liste des hackers. Tous les experts cyber s’accordent à dire qu’il est aujourd’hui difficile d’affirmer de façon certaine que les motivations des hackers puissent être purement cybercriminelles.

De faux sites web qui ressemblent fortement aux sites légitimes des logiciels usurpés

Pour mener à bien une campagne, en tout cas dans la dernière version étudiée par BlackBerry, les pirates piègent leurs victimes grâce à des leurres, sous la forme d’un site internet qui ressemble comme deux gouttes d’eau ou presque au site original usurpé. Ensuite, ils mettent en place le processus de téléchargement d’un ensemble d’installation du logiciel soi-disant légitime, mais chargé de logiciels malveillants. La plupart du temps, les cybercriminels parviennent à appâter leurs victimes, ô grande surprise, à l’aide d’e-mails de phishing ciblés.

En ce qui concerne le cas pratique, faisons un focus sur le faux site web SolarWinds. Sur ce dernier, on propose à l’utilisateur l’essai gratuit de la solution, en échange du remplissage d’un formulaire d’inscription qui semble légitime. Si la victime le remplit, les vrais employés de SolarWinds sont ainsi susceptibles de la contacter pour suivre l’essai du produit. L’utilisateur pense alors d’autant plus que l’application qu’il vient de télécharger et d’installer est tout à fait légitime. Mais vous aurez compris qu’il aura en réalité téléchargé un dropper d’accès à distance de RomCom RAT.

Dans le cas de KeePass, dès lors qu’un utilisateur télécharge l’application depuis un faux site web qui imite le vrai, le hacker dépose un paquet malveillant sur l’appareil. Celui-ci a la forme d’un fichier zip qui contient un cheval de Troie. Une fois décompressé, le fichier (dont le Setup.exe) lance le dropper RomCom RAT.

Sources : BlackBerry@Unit42_Intel via Twitter