Une nouvelle campagne distribuant le logiciel malveillant de porte dérobée RomCom se fait passer pour les sites Web de logiciels bien connus ou fictifs, incitant les utilisateurs à télécharger et à lancer des installateurs malveillants.
La dernière campagne a été découverte par Trend Micro, qui suit RomCom depuis l’été 2022. Les chercheurs rapportent que les acteurs de la menace derrière le malware ont intensifié son évasion en utilisant le chiffrement et l’obscurcissement de la charge utile et ont élargi les capacités de l’outil en introduisant de nouvelles commandes puissantes. .
La plupart des sites Web utilisés pour distribuer RomCom aux victimes concernent des applications de gestion de bureau à distance, ce qui augmente la probabilité que les attaquants utilisent le phishing ou l’ingénierie sociale pour approcher leurs cibles.
RomCom lié au rançongiciel Cuba
La première utilisation documentée de RomCom a été signalée en août 2022 par Palo Alto Networks, attribuant les attaques à un ransomware affilié à Cuba qu’ils ont nommé « Tropical Scorpius ». Trend Micro utilise « Void Rabisu » pour suivre le même acteur.
En octobre 2022, le CERT-UA ukrainien a signalé que le logiciel malveillant RomCom était utilisé dans des attaques contre des réseaux critiques dans le pays.
Un autre rapport publié presque simultanément par BlackBerry a revendiqué l’association avec Cuba ransomware mais a confirmé les attaques en Ukraine tout en indiquant également qu’il y avait des victimes de logiciels malveillants aux États-Unis, au Brésil et aux Philippines.
Un rapport ultérieur de BlackBerry en novembre 2022 a illustré comment RomCom s’est fait passer pour des logiciels légitimes, notamment SolarWinds Network Performance Monitor (NPM), le gestionnaire de mots de passe KeePass et PDF Reader Pro.
La campagne actuelle
Le rapport de Trend Micro sur la dernière activité de RomCom répertorie plusieurs exemples de sites Web utilisés par les opérateurs de logiciels malveillants entre décembre 2022 et avril 2023 qui se font passer pour des logiciels légitimes, comme Gimp, Go To Meeting, ChatGPT, WinDirStat, AstraChat, System Ninja, Devolutions’ Remote Desktop Manager , et plus.
Certains des sites malveillants utilisés au cours de ladite période sont :
- gllmp.com (hors ligne) – Imitation de l’éditeur d’images gratuit et open-source
- gotomeet.us (hors ligne) – Imitation de l’application de réunion et de conférence vidéo dans le cloud
- singularlabs.org (hors ligne) – Imitation d’un outil de nettoyage de PC
- chatgpt4beta.com (en ligne) – Imitation de la plate-forme de chatbot alimentée par l’IA
- astrachats.com (hors ligne) – Imitation du logiciel de chat sécurisé
- devolutionrdp.com (en ligne) – Imitation d’un outil de gestion de bureau à distance
- cosy-software.com (hors ligne) – Imitation d’un outil de gestion de bureau à distance
- vectordmanagesoft.com (hors ligne) – Emprunte l’identité d’un outil de gestion de bureau à distance
- devolrdm.com (en ligne) – Imitation d’un outil de gestion de bureau à distance
- dirwinstat.com (en ligne) – Imitation d’un visualiseur d’utilisation du disque et d’un outil de nettoyage
Ces faux sites sont promus via des publicités Google et des e-mails de phishing très ciblés, la plupart des victimes étant basées en Europe de l’Est.
Les sites Web distribuent des programmes d’installation MSI qui se font passer pour l’application promise mais sont trojanisés avec un fichier DLL malveillant (« InstallA.dll »).
Ce fichier extrait trois autres DLL dans le dossier %PUBLIC%\Libraries de la victime, qui gère les communications du serveur de commande et de contrôle et l’exécution des commandes.
La dernière version de la charge utile RomCom analysée par Trend Micro montre que ses auteurs ont travaillé à la mise en œuvre de commandes malveillantes supplémentaires, leur nombre de commandes passant de 20 à 42.
Certaines des commandes en surbrillance qui peuvent être transmises à un appareil infecté par RomCom sont :
- Démarrer cmd.exe
- Déposez un fichier sur l’ordinateur de la victime pour introduire plus de charges utiles.
- Lancez un processus avec usurpation de PID pour le faire paraître légitime.
- Exfiltrer les données du système compromis.
- Configurez un proxy via SSH.
- Mettez à jour le logiciel malveillant sur l’appareil.
- Exécutez AnyDesk sur une fenêtre masquée.
- Compressez un dossier donné et envoyez-le au serveur des attaquants.
Ces commandes donnent déjà aux attaquants des capacités étendues, mais la société de cybersécurité rapporte avoir vu plusieurs cas de charges utiles de logiciels malveillants supplémentaires installées via RomCom.
Les composants Stealer téléchargés par RomCom sur les appareils compromis incluent :
- PhotoDirector.dll – Un outil de capture d’écran qui compresse les images dans les archives ZIP pour l’exfiltration.
- procsys.dll – Un voleur de cookies de navigateur Web (Chrome, Firefox, Edge).
- wallet.exe – Un voleur de portefeuille de crypto-monnaie.
- msg.dll – Un voleur de messagerie instantanée.
- FileInfo.dll – Un voleur d’informations d’identification FTP qui télécharge des données sur un serveur FTP.
Évasion améliorée
Les auteurs de RomCom utilisent désormais le logiciel VMProtect pour la protection du code et les capacités anti-VM. De plus, il utilise le chiffrement pour la charge utile, dont la clé n’est pas codée en dur mais récupérée par une adresse externe.
Le logiciel malveillant utilise des octets nuls dans sa communication C2 pour échapper à la détection des outils de surveillance du réseau.
Enfin, le logiciel téléchargé à partir des sites Web malveillants est signé par des sociétés apparemment légitimes supposément basées aux États-Unis et au Canada, dont les sites Web sont remplis de contenu faux ou plagié.
RomCom a été associé à des rançongiciels, à l’espionnage et à la guerre, et les objectifs exacts de ses opérateurs restent flous. Quoi qu’il en soit, il s’agit d’une menace polyvalente qui peut causer des dégâts importants.
Trend Micro a fourni une liste complète d’indicateurs de compromission (IoC) pour la dernière campagne RomCom et les règles Yara pour aider les défenseurs à détecter et arrêter les attaques.