jeu. Déc 1st, 2022

Le groupe de piratage RomCom abuse des marques de logiciels populaires comme KeePass et SolarWinds pour distribuer un cheval de Troie à leurs victimes.

Opérant sous le nom de RomCom, le groupe de piratage utilise des marques de logiciels populaires telles que KeePass et SolarWinds pour infiltrer des cibles en Ukraine avec un cheval de Troie. Mais la Grande-Bretagne pourrait également être dans le viseur des attaquants, comme l’ont découvert des chercheurs en sécurité.

Les pirates profitent de marques de logiciels bien connues

Les chercheurs en sécurité de l’équipe BlackBerry Research & Intelligence Team ont identifié une nouvelle campagne d’attaque par un groupe de piratage connu sous le nom de RomCom. Les cybercriminels profitent parfois des marques SolarWinds et KeePass pour attaquer principalement des cibles en Ukraine. Mais la Grande-Bretagne semble également être la cible des pirates, comme le concluent les chercheurs à partir des conditions d’utilisation de deux des sites Web malveillants utilisés et du certificat SSL d’un serveur de commande et de contrôle (C2) nouvellement mis en place.

Les attaquants utilisent un schéma d’attaque récurrent spécifique. Après avoir copié le code HTML des pages Web originales de SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager ou PDF Reader Pro, ils hébergent une version manipulée de la page dans un domaine similaire. Après tout, les pirates proposent une version cheval de Troie du logiciel respectif sur le nouveau site Web à télécharger et envoient des e-mails de phishing ciblés à leurs victimes.

Les faux sites KeePass et SolarWinds distribuent RomCom RAT

Comme l’illustrent les chercheurs en sécurité dans leur rapport, les versions originales et fausses du site Web SolarWinds Network Performance Monitor sont similaires et prêtent à confusion. Afin de télécharger la variante manipulée du logiciel, un formulaire d’inscription apparaît. « Si terminé, de vrais représentants commerciaux de SolarWinds peuvent contacter la victime pour poursuivre l’essai du produit« , expliquent les chercheurs. Cela donne à la victime le sentiment d’avoir reçu l’application SolarWinds légitime. En fait, cependant, il « téléchargé sans le savoir un compte-gouttes pour le cheval de Troie d’accès à distance RomCom (RAT).« 

Voir aussi  Rapport du parti Breakpoint 2007

Les pirates procèdent de la même manière avec le populaire gestionnaire de mots de passe KeePass. Encore une fois, le faux site Web est étonnamment similaire à l’original. Cependant, dans la capture d’écran affichée, le domaine différent est « keepas.org » apparent. Qui y a le forfait offert »KeepPass-2.52.zip” télécharge et extrait deux fichiers malveillants sur son système. Une « setup.exe‘ qui lance un dropper RomCom RAT et un ‘hlpr.dat», qui lui-même représente un tel compte-gouttes.

Faux site KeePass / Source : BlackBerry

En plus de l’Ukraine, les cibles britanniques semblent également être au centre de l’attention

Au cours de leurs enquêtes, les chercheurs en sécurité sont tombés sur de faux sites Web pour télécharger KeePass et PDF Reader Pro en ukrainien. Ceux-ci ont déposé leurs conditions d’utilisation sous la même URL et auraient été hébergés par des sociétés britanniques.

Les chercheurs ont également découvert un nouveau serveur de commande et de contrôle enregistré le 27 octobre 2022, avec un certificat SSL usurpant la propriété britannique. À partir de là, l’équipe BlackBerry Research & Intelligence Team en conclut que les attaquants ont parfois aussi ciblé des cibles de Grande-Bretagne.