
Die Hackergruppe RomCom nutzt bekannte und beliebte Softwares wie KeePass und SolarWinds um ihren Trojaner an die Opfer zu verteilen. Ihre Hauptziele liegen in der Ukraine freilich scheint ebenfalls Großbritannien gefährdet zu sein, ebenso wie die Forscher des BlackBerry Research & Intelligence Teams herausgefunden haben.
Hacker nutzen die Popularität bekannter Marken
Die Hackergruppe RomCom hat eine neue Angriffskampagne gestartet die darauf abzielt die Marken SolarWinds und KeePass auszunutzen um die Ziele in der Ukraine mit einem Trojaner zu infiltrieren. Die Sicherheitsforscher haben jedoch festgestellt, dass auch britische Unternehmen ins Visier der Angreifer geraten könnten. Sie kamen zu diesem Schluss aufgrund der Nutzungsbedingungen von zwei bösartigen Webseiten und eines SSL-Zertifikats, das für den neu eingerichteten Command-and-Control-Server verwendet wurde.
Die Angreifer nutzen eine wiederkehrende Angriffsmethode. Sie kopieren den HTML-Code der originalen Webseiten von SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager und PDF Reader Pro und stellen eine manipulierte Version der Seite unter einer ähnlichen Domain bereit. Schließlich bieten sie auf der neuen Webseite eine trojanisierte Variante der jeweiligen Software zum Download an und senden gezielte Phishing-E-Mails an ihre Opfer.
Gefälschte KeePass- und SolarWinds-Webseiten verteilen RomCom RAT
Die Sicherheitsforscher haben in ihrem Bericht gezeigt, dass die originale und die gefälschte Version der Webseite des SolarWinds Network Performance Monitors nahezu genauso viel sind. Um die manipulierte Version der Software herunterzuladen muss das Opfer ein Registrierungsformular ausfüllen. Die Forscher erklären, dass es möglich ist, dass echte SolarWinds-Vertriebsmitarbeiter das Opfer später kontaktieren um die Produkttestversion weiter zu verfolgen. Dadurch könnte das Opfer das Gefühl haben die legitime SolarWinds-Anwendung erhalten zu haben. Tatsächlich hat es jedoch "unwissentlich einen Dropper für den RomCom-Remote-Access-Trojaner (RAT) heruntergeladen."
Die Hacker nutzen die gleiche Methode auch für den beliebten Passwortmanager KeePass. Auch hier ist die gefälschte Webseite dem Original täuschend ähnlich. In dem Screenshot ist jedoch die abweichende Domain "keepas.org" zu sehen. Wer dort das Paket "KeePass-2.52.zip" herunterlädt und entpackt, holt sich gewissermaßen genau zwei bösartige Dateien auf sein System. Eine "setup.exe" die welche RomCom RAT-Dropper startet und eine "hlpr.dat" die selbst einen solchen Dropper darstellt.
Neben der Ukraine scheinen auch britische Unternehmen gefährdet zu sein
Die Forscher des BlackBerry Research & Intelligence Teams haben bei ihren Untersuchungen gefälschte Webseiten für den Download von KeePass und PDF Reader Pro in ukrainischer Sprache entdeckt, deren Nutzungsbedingungen unter derselben URL angegeben wurden. Diese Seiten wurden angeblich von britischen Unternehmen gehostet.
Die Forscher haben auch einen neuen Command-and-Control-Server entdeckt der am 27. Oktober 2022 registriert wurde und dessen SSL-Zertifikat britische Eigentümer vortäuscht. Daraus schließen sie: Die Angreifer möglicherweise auch britische Unternehmen als Ziele im Visier haben.
Kommentare