Безбедносните истражувачи од Threat Research and Intelligence тимот на BlackBerry предупредија на лажни верзии на SolarWinds Network Performance Monitor, менаџер за лозинки KeePass и PDF Reader Pro кои се нудат на лажни веб-сајтови. Злонамерниот софтвер RomCom RAT е скриен во овие лажни верзии на популарниот софтвер.
Целите на сајбер-криминалците кои шират RomCom RAT се во Украина и одредени земји од англиско говорно подрачје, како што е Британија.
„Со оглед на географијата на целите и моменталната геополитичка ситуација, малку е веројатно дека RomCom RAT е актер за закана мотивиран од сајбер криминал“, велат истражувачите.
Нивното предупредување дојде една недела откако канадска компанија за сајбер безбедност откри таргетирана кампања за фишинг насочена кон украински ентитети, кои исто така го дистрибуираа тројанецот за далечински пристап RomCom RAT. Непознати напаѓачи користеле тројанизирани варијанти на Advanced IP Scanner и pdfFiller како droppers за преземање малициозен софтвер.
Во последната кампања, напаѓачите користат лажни веб-сајтови со слично име на домен на оригиналните сајтови, кои содржат инсталатери на малициозен софтвер претставени како легитимен софтвер, а напаѓачите испраќаат фишинг-мејл до потенцијалните жртви со линк што ги води до лажните сајтови.
„Додека се презема бесплатниот пробен период од лажната веб-страница на SolarWinds, се појавува легитимен формулар за регистрација“, објаснуваат истражувачите. „Доколку е пополнето, вистинските препродавачи на SolarWinds би можеле да контактираат со жртвата. Оваа тактика ја доведува жртвата во заблуда да мисли дека неодамна преземената и инсталираната апликација е целосно легитимна“.
Покрај SolarWinds, напаѓачите на ист начин го злоупотребуваат популарниот менаџер за лозинки KeePass и PDF Reader Pro, пренесува Informacija.rs.
Употребата на RomCom RAT исто така е поврзана со сајбер криминалци поврзани со откупниот софтвер Cuba и малициозен софтвер Industrial Spy.
Со оглед на меѓусебно поврзаната природа на екосистемот за сајбер криминал, не е јасно дали напаѓачите се исти или малициозен софтвер се нуди на продажба како услуга на други сајбер криминалци.