L’attore della minaccia noto come RomCom è tornato in scena, prendendo di mira politici ucraini e un’organizzazione sanitaria negli Stati Uniti che si occupa di aiutare i rifugiati in fuga dal paese in guerra. L’attacco viene attuato attraverso una versione trojanizzata del Devolutions Remote Desktop Manager, che le vittime sono probabilmente state incoraggiate a scaricare dopo essere state indirizzate a un sito web clonato attraverso tattiche di phishing.
Come funziona l’attacco di RomCom
RomCom utilizza una forma di typosquatting per creare un’immagine molto simile al sito autentico, secondo il rapporto del team di ricerca e intelligence sulle minacce di BlackBerry. Creando siti web falsi che assomigliano strettamente ai siti software legittimi, RomCom può distribuire carichi utili dannosi a vittime ignare che scaricano e installano il software compromesso, pensando che sia legittimo.
Un attacco cibernetico con motivazioni geopolitiche
La campagna suggerisce fortemente che la motivazione di questo attore della minaccia non sia il denaro, ma piuttosto un’agenda geopolitica che guida la sua strategia di attacco e i metodi di mira. Il riconoscimento del software che le vittime utilizzano per fornire notifiche di aggiornamento false è stato parte del processo, secondo Dmitry Bestuzhev, direttore senior, CTI, BlackBerry.
Un RomCom che non hai mai visto prima
Le precedenti campagne di RomCom contro l’esercito ucraino hanno utilizzato un falso software Advanced IP Scanner per distribuire malware, e il gruppo ha anche preso di mira i paesi di lingua inglese – soprattutto il Regno Unito – con versioni trojanizzate di prodotti software popolari, tra cui SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager e PDF Reader Pro.