Figyelem! Népszerű szoftverek vírusos változataival terjesztett trójai kampányt azonosítottak

A Blackberry egy olyan káros kódterjesztő kampányra hívja fel a figyelmet, aminek során fenyegetési szereplők többek között a SolarWinds Network Performance Monitor (NPM), a KeePass jelszószéf, a PDF Reader Pro, valamint a Veem mentéskezelő szoftverek káros változatait terjesztik.

A támadók nagy gondot fordítottak arra, hogy a káros programok letöltési oldalai arculatilag megegyezzenek az eredeti weboldalakkal és a webcímük (domain nevük) is nagyon hasonló legyen. Az egyik megszemélyesített szoftver a sokak által alkalmazott, ingyenes KeePass jelszókezelő.

A letöltött tömörített állomány (ZIP) több fájlt is tartalmaz, köztük a ”hlpr.dat” fájlt, ami a tényleges káros program, a RomCom RAT droppere, amit a „setup.exe” fájl futtatása után települ az áldozat eszközére.

Kiemelésre érdemes, hogy a támadók a Solarwinds  Network Performance Monitoring (NPM) esetében egy további megtévesztő lépést is alkalmaznak: a káros verzió letöltésekor egy hivatalos SolarWinds regisztrációs űrlapot jelenít meg, amit ha az áldozat kitölt, az a SolarWinds cég valódi SALES osztályára küld üzenetet.

Minekután az NPM ingyenesen kipróbálható, teljesen életszerű, hogy az űrlap kitöltése nyomán egy értékesítő felvegye a kapcsolatot az áldozattal, elterelve a gyanút arról, hogy valójában egy káros verzió került letöltésre.

Kiket és hogyan céloz a kampány?

A Blackberry szerint a támadók többféle technikával juttatják el a káros letöltőoldalak linkjeit az áldozatoknak. Egyrészről adathalász üzenetekkel, azonban internetes keresi találatok manipulálásával (SEO poisoning), valamint fórum és közösségi média posztokkal is terjeszthetik.

Az eddig azonosított esetek alapján a kampánynak főképp ukrán célpontjai voltak, azonban egyes SSL tanúsítványok alapján angol nyelvterületű országok is célpontok lehetnek.

RomCom RAT fertőzésre utaló indikátorok (IoC-k):

(bleepingcomputer.com)