Eine neue Kampagne zur Verbreitung der RomCom-Backdoor-Malware gibt sich als Websites bekannter oder fiktiver Software aus und verleitet Benutzer dazu, bösartige Installationsprogramme herunterzuladen und zu starten.
Die neueste Kampagne wurde aufgedeckt von Trend Microdie RomCom seit Sommer 2022 folgen. Die Forscher berichten, dass die Bedrohungsakteure hinter der Malware ihre Umgehung durch den Einsatz von Payload-Verschlüsselung und Verschleierung eskaliert und die Fähigkeiten des Tools durch die Einführung neuer und leistungsstarker Befehle erweitert haben.
Bei den meisten Websites, auf denen RomCom an Opfer verteilt wird, handelt es sich um Remote-Desktop-Verwaltungsanwendungen, was die Wahrscheinlichkeit erhöht, dass Angreifer Phishing oder Social Engineering einsetzen, um an ihre Ziele heranzukommen.
RomCom steht im Zusammenhang mit Cuba-Ransomware
Der erste dokumentierte Einsatz von RomCom wurde im August 2022 von Palo Alto Networks gemeldet und die Angriffe einem kubanischen Ransomware-Partner namens „Tropical Scorpius“ zugeschrieben. Trend Micro nutzt „Void Rabisu“, um denselben Schauspieler zu verfolgen.
Im Oktober 2022 berichtete das ukrainische CERT-UA, dass die RomCom-Malware bei Angriffen auf kritische Netzwerke im Land eingesetzt wurde.
Ein weiterer, fast zeitgleich von BlackBerry veröffentlichter Bericht behauptete den Zusammenhang mit der Cuba-Ransomware aber bestätigte die Anschläge in der Ukraine Gleichzeitig wurde jedoch auch darauf hingewiesen, dass es in den USA, Brasilien und auf den Philippinen Malware-Opfer gab.
Ein nachfolgender BlackBerry-Bericht vom November 2022 veranschaulichte, wie RomCom sich als legitime Software ausgab, darunter SolarWinds Network Performance Monitor (NPM), den KeePass-Passwort-Manager und PDF Reader Pro.
Die aktuelle Kampagne
Der Bericht von Trend Micro über die neuesten RomCom-Aktivitäten listet mehrere Beispiele für Websites auf, die von den Malware-Betreibern zwischen Dezember 2022 und April 2023 genutzt wurden und sich als legitime Software ausgeben, wie Gimp, Go To Meeting, chatgpt, WinDirStat, AstraChat, System Ninja und Devolutions‘ Remote Desktop Manager , und mehr.
Einige der im genannten Zeitraum genutzten bösartigen Websites sind:
- gllmp.com (offline) – Imitiert den kostenlosen und Open-Source-Bildeditor
- gotomeet.us (offline) – Imitiert die Cloud-App für Videobesprechungen und -konferenzen
- singularlabs.org (offline) – Gibt sich als PC-Reinigungstool aus
- chatgpt4beta.com (online) – Imitiert die KI-gestützte Chatbot-Plattform
- astrachats.com (offline) – Gibt sich als sichere Chat-Software aus
- devolutionrdp.com (online) – Gibt sich als Remote-Desktop-Verwaltungstool aus
- cosy-sofware.com (offline) – Imitiert ein Remote-Desktop-Verwaltungstool
- vectordmanagesoft.com (offline) – Imitiert ein Remote-Desktop-Verwaltungstool
- devolrdm.com (online) – Gibt sich als Remote-Desktop-Verwaltungstool aus
- dirwinstat.com (online) – Gibt sich als Tool zur Anzeige der Festplattennutzung und Bereinigung aus
Diese gefälschten Websites werden durch google-Werbung und gezielte Phishing-E-Mails beworben, wobei die meisten Opfer in Osteuropa ansässig sind.
Die Websites vertreiben MSI-Installationsprogramme, die sich als die versprochene App ausgeben, aber mit einer schädlichen DLL-Datei („InstallA.dll“) trojanisiert werden.
Diese Datei extrahiert weitere drei DLLs in den Ordner %PUBLIC%\Libraries des Opfers, der die Befehls- und Steuerungsserverkommunikation sowie die Befehlsausführung übernimmt.
Die neueste Version der von Trend Micro analysierten RomCom-Payload zeigt, dass ihre Autoren auf die Implementierung zusätzlicher bösartiger Befehle hingearbeitet haben, wobei ihre Anzahl der Befehle von 20 auf 42 gestiegen ist.
Einige der hervorgehobenen Befehle, die an ein mit RomCom infiziertes Gerät gesendet werden können, sind:
- Starten Sie cmd.exe
- Legen Sie eine Datei auf dem Computer des Opfers ab, um weitere Nutzlasten einzuschleusen.
- Starten Sie einen Prozess mit PID-Spoofing, um ihn legitim erscheinen zu lassen.
- Exfiltrieren Sie Daten aus dem kompromittierten System.
- Richten Sie einen Proxy über SSH ein.
- Aktualisieren Sie die Malware auf dem Gerät.
- Führen Sie AnyDesk in einem ausgeblendeten Fenster aus.
- Komprimieren Sie einen bestimmten Ordner und senden Sie ihn an den Server des Angreifers.
Diese Befehle geben den Angreifern bereits umfangreiche Möglichkeiten, aber das Cybersicherheitsunternehmen berichtet, mehrere Fälle gesehen zu haben, in denen über RomCom zusätzliche Malware-Payloads installiert wurden.
Zu den von RomCom auf kompromittierten Geräten heruntergeladenen Stealer-Komponenten gehören:
- PhotoDirector.dll – Ein Tool zum Erstellen von Screenshots, das Bilder in ZIP-Archiven zur Exfiltration komprimiert.
- procsys.dll – Ein Browser-Cookies-Stealer (Chrome, Firefox, Edge).
- wallet.exe – Ein Kryptowährungs-Wallet-Stealer.
- msg.dll – Ein Instant-Messenger-Chat-Stealer.
- FileInfo.dll – Ein FTP-Zugangsdatendiebstahler, der Daten auf einen FTP-Server hochlädt.
Verbessertes Ausweichen
Die Autoren von RomCom verwenden jetzt die VMProtect-Software für Codeschutz und Anti-VM-Funktionen. Außerdem wird die Nutzlast verschlüsselt, wobei der Schlüssel nicht fest codiert ist, sondern von einer externen Adresse abgerufen wird.
Die Malware verwendet Nullbytes in ihrer C2-Kommunikation, um der Erkennung durch Netzwerküberwachungstools zu entgehen.
Schließlich wird die von den bösartigen Websites heruntergeladene Software von scheinbar legitimen Unternehmen signiert, die ihren Sitz angeblich in den USA und Kanada haben und deren Websites mit gefälschten oder plagiierten Inhalten gefüllt sind.
RomCom wird mit Ransomware, Spionage und Kriegsführung in Verbindung gebracht, und die genauen Ziele seiner Betreiber bleiben unklar. In jedem Fall handelt es sich um eine vielseitige Bedrohung, die erheblichen Schaden anrichten kann.
Trend Micro hat eine umfassende Liste bereitgestellt Indikatoren für einen Kompromiss (IoCs) für die neueste RomCom-Kampagne und Kinderregeln um den Verteidigern zu helfen, die Angriffe zu erkennen und zu stoppen.