Notícias de dispositivos móveis, gadgets, aplicativos Android

RomCom RAT distribuído como versões falsificadas da popular ferramenta de verificação de IP

O ator ameaçador por trás de um trojan de acesso remoto, ‘RomCom RAT’, tem agora como alvo instituições militares ucranianas. Os agentes de ameaças são conhecidos por falsificar aplicativos legítimos como ‘Advanced IP Scanner’ e ‘PDF Filler’ para instalar backdoors em sistemas comprometidos.

Os relatórios dizem que a campanha “Advanced IP Scanner” ocorreu em 23 de julho de 2022. Quando a vítima instala um pacote Trojanizado, ele coloca o RomCom RAT no sistema.

Posteriormente, as técnicas aprimoradas de evasão por ofuscação de todas as strings e execução como objeto COM aconteceram em 10 de outubro de 2022,

RomCom RAT distribuído como versões falsificadas

Anteriormente, o RomCom RAT era distribuído por meio de sites falsos que falsificavam o site legítimo do aplicativo “Advanced IP Scanner”. O pacote trojanizado “Advanced IP Scanner” foi hospedado em “advanced-ip-scaner[.]com” e “scanners ip avançados[.]com” domínios.

Particularmente, esses domínios foram resolvidos para o mesmo endereço IP de 167[.]71[.]175[.]165. O agente da ameaça falsificou o site “pdfFiller”, lançando uma versão trojanizada com RomCom RAT como carga final.

Site falso de “Advanced IP Scanner”
Site legítimo de “Advanced IP Scanner”

A equipe de pesquisa e inteligência do BlackBerry identificard duas versões dele, “Advanced_IP_Scanner_V2.50,4594.1.zip” e “advancedipscanner.msi”.

Os pesquisadores dizem que o agente da ameaça falsificou as ferramentas legítimas chamadas “Advanced_IP_Scanner_2.50,4594.1.exe” adicionando uma única letra “V” ao nome do arquivo. Depois de descompactado, ele contém 27 arquivos, dos quais quatro são droppers maliciosos.

RomCom reúne informações do sistema (enumeração de informações de discos e arquivos) e informações sobre aplicativos instalados localmente e processos de memória. Ele também faz capturas de tela e transmite os dados coletados para o comando e controle codificado (C2). Se um comando especial for recebido, ele suporta a exclusão automática da máquina da vítima.

Nós recomendamos:  Aqui está como reivindicá-los

“O ator ameaçador por trás do RomCom RAT teve como alvo as instituições militares da Ucrânia. O vetor de infecção inicial é um e-mail com um link incorporado que leva a um site falso que descarta o downloader do próximo estágio”, equipe de pesquisa e inteligência da BlackBerry.

O link original leva a uma isca no idioma ucraniano, falsificando o site original do Ministério da Defesa da Ucrânia

Palavra final

Portanto, o ator da ameaça RomCom RAT está desenvolvendo ativamente novas técnicas visando vítimas em todo o mundo. É altamente possível esperar novas campanhas de agentes de ameaças.

Os pesquisadores também descobriram que o ator da ameaça RomCom tinha como alvo empresas de TI, corretores de alimentos e fabricantes de alimentos nos EUA, no Brasil e nas Filipinas.

Leia também: Baixe a Filtragem Segura da Web – Livre Livro eletrônico