Il personale militare e i leader politici dell’Unione Europea che lavorano su iniziative di parità di genere sono diventati il bersaglio di una nuova campagna che diffonde una versione aggiornata del RomCom RAT chiamata PEAPOD. La società di cybersecurity Trend Micro ha attribuito gli attacchi a un attore minaccioso noto come Void Rabisu, associato anche al ransomware cubano.
Void Rabisu è un gruppo insolito in quanto conduce sia attacchi finanziariamente motivati che di spionaggio, sfumando la linea tra le loro modalità operative. È anche strettamente legato all’uso del RomCom RAT. Gli attacchi che utilizzano questo backdoor hanno preso di mira l’Ucraina e i paesi che sostengono l’Ucraina nella sua guerra contro la Russia nell’ultimo anno.
A luglio, Microsoft ha collegato Void Rabisu all’exploit di CVE-2023-36884, una vulnerabilità di esecuzione di codice remoto in Office e Windows HTML, utilizzando documenti Microsoft Office appositamente creati legati al Congresso Mondiale Ucraino.
Il RomCom RAT può interagire con un server di comando e controllo per ricevere ed eseguire comandi sulla macchina della vittima. Il malware viene tipicamente distribuito tramite email di spear-phishing altamente mirate e annunci fasulli sui motori di ricerca come Google e Bing per ingannare gli utenti a visitare siti trappola che ospitano versioni trojanizzate di applicazioni legittime.
L’ultimo set di attacchi rilevati da Trend Micro nell’agosto 2023 distribuisce anche RomCom RAT, ma si tratta di una versione aggiornata e snellita del malware distribuita tramite un sito web chiamato wplsummit[.]com, una replica del legittimo dominio wplsummit[.]org. Sul sito è presente un link a una cartella Microsoft OneDrive che ospita un eseguibile che mira a imitare una cartella contenente foto dal Women Political Leaders (WPL) Summit che si è tenuto nel giugno 2023.
Il file DLL stabilisce un contatto con un altro dominio per recuperare l’artefatto PEAPOD di terza fase, che supporta 10 comandi in totale, in calo rispetto ai 42 comandi supportati dal suo predecessore. La versione rivista è attrezzata per eseguire comandi arbitrari, scaricare e caricare file, ottenere informazioni sul sistema e persino disinstallarsi dall’host compromesso.