Los actores de amenazas detrás de RomCom RAT están aprovechando una red de sitios web falsos que anuncian versiones no autorizadas de software popular al menos desde julio de 2022 para infiltrarse en los objetivos.
La firma de ciberseguridad Trend Micro está rastreando el grupo de actividad bajo el nombre Void Rabisu, que también se conoce como Tropical Scorpius (Unidad 42) y UNC2596 (Mandiant).
«Es probable que estos sitios de señuelo solo estén destinados a una pequeña cantidad de objetivos, lo que dificulta el descubrimiento y el análisis», dijeron los investigadores de seguridad Feike Hacquebord, Stephen Hilt, Fernando Merces y Lord Alfred Remorin .
Algunas de las aplicaciones suplantadas detectadas hasta ahora incluyen AstraChat, Remote Desktop Manager de Devolutions, Gimp, GoTo Meeting, KeePass, OpenAI ChatGPT, Signal, Veeam Backup & Replication y WinDirStat.
RomCom RAT fue documentado por primera vez por la Unidad 42 de Palo Alto Networks en agosto de 2022, vinculándolo a un grupo motivado financieramente que implementa Cuba Ransomware (también conocido como COLDDRAW). Vale la pena señalar que no hay evidencia que sugiera que la banda de ransomware tenga alguna conexión o afiliación con la República de Cuba.
Desde entonces, el troyano de acceso remoto se ha utilizado mucho en ataques dirigidos a organismos estatales y sistemas militares ucranianos a través de versiones falsificadas de software legítimo. Otros objetivos aislados se han localizado en las Américas y Asia.
También se ha observado que Void Rabisu abusa de Google Ads para engañar a los usuarios para que visiten los sitios señuelos como parte de ataques específicos, lo que lo convierte en la última incorporación en una larga lista de actores de amenazas que encuentran nuevas vías para obtener acceso inicial a los sistemas de las víctimas.
«RomCom usó spear-phishing contra un miembro del parlamento europeo en marzo de 2022, pero apuntó a una empresa de defensa europea en octubre de 2022 con un anuncio de Google Ads que condujo a un sitio de aterrizaje intermediario que redirigiría a un sitio de señuelo de RomCom», Trend Micro dicho.
Esto apunta a que el adversario mezcló su metodología de focalización para abarcar tácticas asociadas tanto con los actores del delito cibernético como con los grupos del estado-nación.
El cambio en el uso de RomCom RAT como puerta trasera para intrusiones dirigidas se ha complementado con mejoras significativas en el malware que aumenta la cantidad de comandos admitidos de 20 a 49, lo que le permite ejercer un control total sobre los hosts comprometidos.
Esto también incluye la capacidad de descargar cargas útiles adicionales para tomar capturas de pantalla, obtener datos de billetera criptográfica, desviar mensajes de chat y credenciales de FTP, y usar un ladrón de contraseñas del navegador denominado StealDeal .
Otro aspecto notable de los ataques es el uso de certificados para dar credibilidad a los instaladores de software malicioso, con muestras firmadas por empresas aparentemente inocuas con sede en EE. UU. y Canadá.
“La línea se está desdibujando entre el delito cibernético impulsado por ganancias financieras y los ataques APT motivados por la geopolítica, el espionaje, la interrupción y la guerra”, dijeron los investigadores.
«Desde el surgimiento del Ransomware-as-a-Service (RaaS), los ciberdelincuentes no utilizan tácticas avanzadas ni ataques dirigidos que antes se pensaba que eran dominio de los actores de APT. A la inversa, las tácticas y técnicas que antes usaban los actores motivados financieramente se utilizan cada vez más en ataques con objetivos geopolíticos».
Fuente y redacción: thehackernews.com