Campagna malware impersona KeePass, SolarWinds NPM e Veeam

Nuove release false di KeePass password manager, SolarWinds NPM e Veeam Backup and Recovery contengono il payload del RAT RomCom.

Autore: Redazione SecurityOpenLab

Che i brand noti fossero spesso usati come esca per i cyber attacchi non è una novità. Basta dare un’occhiata alle classifiche periodiche pubblicate da vari vendor di sicurezza. Non capita però tutti i giorni che a finire nel mucchio siano i marchi di produttori di soluzioni per la sicurezza cyber, con implementazioni raffinate e particolarmente subdole. È il caso di SolarWinds, Keepass e Veeam.

Due differenti ricerche condotte da BlackBerry e dalla Unit 42 di Palo Alto hanno scoperto che il trojan di accesso remoto RomCom RAT ha aggiornato il suo vettore di attacco e ora sta abusando dei brand indicati per distribuire il suo payload dannoso. Per questa operazione i cybercriminali hanno creato siti web clone degli originali copiandone il codice HTML, che portavano a falsi download ufficiali di SolarWinds Network Performance Monitor (NPM), KeePass password manager e Veeam Backup and Recovery.

Per rendere più credibile il tutto gli attaccanti hanno persino impiegato la tecnica del domain squatting per la registrazione dei domini. Il malware veniva mascherato come programma legittimo, inserendo il dropper nel pacchetto. Così facendo è comparso online un sito web che impersona SolarWinds NPM e che offre una versione trojanizzata della prova gratuita. Per meglio ingannare la vittima, il sito include anche un modulo di registrazione SolarWinds autentico, che porta la vittima ad essere effettivamente contattata da un vero incaricato dell'assistenza clienti.


Analizzando l'app scaricata (Solarwinds-Orion-NPM-Eval.exe), tuttavia, i ricercatori hanno individuato una DLL dannosa che scarica ed esegue una copia del RAT RomCom. Il file, inoltre, è firmato con lo stesso certificato digitale utilizzato dagli operatori del RAT in una campagna in Ucraina, il cui proprietario risulta essere la "Wechapaisch Consulting & Construction Limited".

Nel caso del sito clonato per il celebre gestore di password KeePass, gli attori della minaccia hanno avviato la distribuzione di una release "KeePass-2.52.zip". Nell’archivio da scaricare come di consueto per l’installazione, oltre ai file legittimi compare "hlpr.dat" che è il dropper di RAT RomCom, e "setup.exe" - il file che l’utente dovrebbe eseguire manualmente per l’installazione - che avvia il dropper stesso. Nel caso di KeePass esistono due versioni: in lingua inglese e ucraina, a conferma del fatto che RomCom sta ampliando i propri obiettivi all’occidente.

Per quanto concerne Veem, i ricercatori della Unit 42 hanno identificato un pacchetto di installazione del software Veeam Backup and Recovery con modalità e tecniche riconducibili a quelle degli altri due casi menzionati.


Un elemento ancora da chiarire riguarda la modalità con cui le potenziali vittime vengono attirate sui siti canaglia. Potrebbero sfruttare campagne di phishing, link postati su forum e social media o manipolazioni dei risultati delle ricerche online.

Altro punto su cui fare luce è l’attribuzione degli attacchi, importante per la threat intelligence. Nell'agosto 2022 la Unit 42 aveva associato il RAT RomCom a un affiliato di Cuba Ransomware soprannominato "Tropical Scorpius". Si ritiene che sia stato il primo attore a impiegarlo. Tuttavia a quei tempi RomCom RAT era un malware sconosciuto che si limitava a offrire agli operatori dieci comandi per azioni sui file, spawning e spoofing dei processi, esfiltrazione dei dati e lancio di una shell inversa. Più di recente fra gli utilizzatori si è aggiunto Industrial Spy, ma la motivazione alla base delle attività di RomCom rimane tuttora poco chiara.



Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.