Установка популярных Gimp, Signal и KeePass может обернуться полной потерей конфиденциальных данных.
Группа хакеров Void Rabisu, также известная как Tropical Scorpius и UNC2596, использует сеть фишинговых сайтов, на которых предлагаются поддельные версии популярных программ, для внедрения трояна RomCom RAT в целевые системы. Об этом сообщила компания Trend Micro в одном из своих последних отчётов.
«Эти сайты-приманки, скорее всего, предназначены только для небольшого числа жертв, что затрудняет их обнаружение и анализ», — сообщили исследователи безопасности Trend Micro.
Среди поддельных приложений были обнаружены AstraChat, Devolutions’ Remote Desktop Manager, Gimp, GoTo Meeting, KeePass, OpenAI ChatGPT, Signal, Veeam Backup & Replication и WinDirStat.
Троян RomCom RAT впервые был описан подразделением Unit 42 из Palo Alto Networks в августе 2022 года. Он связан с финансово мотивированной группой, распространяющей вымогательский вирус Cuba (также известный как COLDDRAW).
С тех пор троян RomCom RAT активно использовался в атаках на государственные органы и военные системы стран Восточной Европы через поддельные версии легитимного ПО. Также были зафиксированы отдельные цели в Америке и Азии.
Void Rabisu также замечена в злоупотреблении сервисом Google Ads для обмана пользователей и перенаправления их на фишинговые сайты. Похоже, что злоумышленник смешивает свою методологию целеполагания, охватывая тактики, связанные как с частными киберпреступниками, так и с государственными группами.
Переквалификация трояна RomCom RAT в полноценный бэкдор для целенаправленных вторжений была достигнута за счёт значительной доработки вредоносной программы, которая увеличила количество поддерживаемых удалённых команд с 20 до 49, позволяя RomCom RAT «полностью контролировать заражённые хосты», включая возможность загружать дополнительные полезные нагрузки, делать скриншоты, захватывать данные криптокошельков, читать сообщения в чатах, а также перехватывать вводимые учётные данные благодаря функции кейлоггера.
Ещё одной заметной особенностью этих атак является использование легитимных сертификатов для придания достоверности вредоносным установщикам программного обеспечения. Некоторые образцы подписаны кажущимися безобидными компаниями из США и Канады.
«Граница между киберпреступностью из-за финансовой выгоды и APT-атаками из-за геополитики, шпионажа и дестабилизации — постепенно стирается», — заявили исследователи.
«С появлением RaaS киберпреступники практически перестали использовать продвинутые тактики и целенаправленные атаки, которые раньше как раз считались прерогативой продвинутых группировок. И наоборот, тактики и техники, которые ранее использовались исключительно финансово мотивированными акторами, теперь всё чаще используются в атаках с геополитическими целями», — заключили специалисты.
Ладно, не доказали. Но мы работаем над этим