Categorie
Sicurezza Informatica

Vertice donne leader politiche preso di mira da attacco phishing con RomCom

Tempo di lettura: 2 minuti. Mentre la minaccia dei cyberattacchi continua a crescere, la necessità di proteggersi e di essere consapevoli delle potenziali trappole online diventa sempre più imperativa, specialmente per eventi di alto profilo come il WPL Summit.

Tempo di lettura: 2 minuti.

Una variante leggera del backdoor RomCom è stata utilizzata contro i partecipanti al Women Political Leaders (WPL) Summit di Bruxelles, un vertice incentrato sull’uguaglianza di genere e sulle donne in politica.

Dettagli sull’attacco

La campagna ha utilizzato un sito web falso che imita il portale ufficiale del WPL per attirare persone interessate a partecipare o semplicemente curiose riguardo al vertice. Un rapporto di Trend Micro che analizza la nuova variante avverte che i suoi operatori, identificati come “Void Rabisu”, stanno utilizzando un backdoor più furtivo con una nuova tecnica di imposizione TLS nelle comunicazioni C2 per rendere più difficile la scoperta.

Obiettivo: donne leader politiche

Nell’agosto 2023, Void Rabisu ha creato un sito web dannoso all’indirizzo “wplsummit[.]com”, progettato per imitare il vero sito web del Women Political Leaders (WPL) ospitato su wplsummit.org. Il sito falso ha collegato una cartella OneDrive attraverso un pulsante denominato “Video & foto”, che conteneva immagini dei due giorni dell’evento, prese dal sito autentico, e un downloader di malware chiamato “Foto non pubblicate”.

RomCom 4.0

Trend Micro identifica l’ultima variante di RomCom, più snella, come la quarta versione principale del backdoor, spiegando che si tratta dello stesso malware che i ricercatori di Volexity hanno recentemente chiamato “Peapod”. Rispetto a RomCom 3.0, la versione precedente vista nelle operazioni di Void Rabisu, la nuova variante del backdoor ha subito cambiamenti significativi, rendendola più leggera e furtiva. RomCom 4.0 ha anche incorporato nuove funzionalità relative al Transport Layer Security (TLS), un protocollo progettato per fornire una comunicazione sicura con il server C2.

In generale, le tattiche di Void Rabisu e l’implementazione del malware RomCom rimangono poco chiare. Tuttavia, è evidente che lo sviluppo del backdoor è ancora in corso e i suoi operatori si stanno concentrando sempre di più sulla cyber spionaggio di alto livello. Trend Micro conclude che è molto probabile che Void Rabisu prenderà di mira tutte le grandi conferenze legate a gruppi di interesse speciale, quindi si consiglia prudenza nella visita dei siti degli eventi.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version