🔴 Soldes dernière démarque : jusqu'à - 80% ! 🔴 Soldes dernière démarque : jusqu'à - 80% sur le high-tech

RomCom RAT : attention, le cheval de Troie se fait passer pour des logiciels bien connus !

04 novembre 2022 à 10h55
2
fraude piratage © Pexels / Sora- Shimazaki
© Pexels / Sora- Shimazaki

Des hackers utilisent des versions des logiciels SolarWinds, PDF Reader Pro ou KeePass pour diffuser le trojan RomCom RAT en Ukraine notamment.

Usurper des logiciels très utilisés par des professionnels et des particuliers fait partie des techniques des pirates informatiques pour diffuser leurs malwares. Le groupe qui opère le cheval de Troie RomCom RAT a dernièrement fait évoluer son vecteur d'attaque et sa campagne pour diffuser l'outil malveillant en se jouant de logiciels populaires.

Une campagne malveillante qui touche principalement l'Ukraine et les pays anglophones

La société BlackBerry, qui sécurise aujourd'hui plus de 500 millions de terminaux, vient de lancer un service de renseignement et d'étude sur les cybermenaces. Elle a repéré des campagnes de diffusion de RomCom RAT au sein d'institutions militaires ukrainiennes et de certains pays anglophones comme le Royaume-Uni. Les chercheurs ont découvert que le groupe derrière ce cheval de Troie utilisait des versions malveillantes des logiciels SolarWinds Network Performance Monitor, PDF Reader Pro et du gestionnaire de mots de passe KeePass.

Le bureau d'études de la menace cyber de Palo Alto Networks, Unit 42, a également découvert que la solution de sauvegarde et de restauration des données Veeam Backup and Recovery est venue s'ajouter à la liste des hackers. Tous les experts cyber s'accordent à dire qu'il est aujourd'hui difficile d'affirmer de façon certaine que les motivations des hackers puissent être purement cybercriminelles.

De faux sites web qui ressemblent fortement aux sites légitimes des logiciels usurpés

Pour mener à bien une campagne, en tout cas dans la dernière version étudiée par BlackBerry, les pirates piègent leurs victimes grâce à des leurres, sous la forme d'un site internet qui ressemble comme deux gouttes d'eau ou presque au site original usurpé. Ensuite, ils mettent en place le processus de téléchargement d'un ensemble d'installation du logiciel soi-disant légitime, mais chargé de logiciels malveillants. La plupart du temps, les cybercriminels parviennent à appâter leurs victimes, ô grande surprise, à l'aide d'e-mails de phishing ciblés.

En ce qui concerne le cas pratique, faisons un focus sur le faux site web SolarWinds. Sur ce dernier, on propose à l'utilisateur l'essai gratuit de la solution, en échange du remplissage d'un formulaire d'inscription qui semble légitime. Si la victime le remplit, les vrais employés de SolarWinds sont ainsi susceptibles de la contacter pour suivre l'essai du produit. L'utilisateur pense alors d'autant plus que l'application qu'il vient de télécharger et d'installer est tout à fait légitime. Mais vous aurez compris qu'il aura en réalité téléchargé un dropper d'accès à distance de RomCom RAT.

Site web légitime SolarWinds
À gauche, le faux site web SolarWinds, à droite, le vrai © BlackBerry

Dans le cas de KeePass, dès lors qu'un utilisateur télécharge l'application depuis un faux site web qui imite le vrai, le hacker dépose un paquet malveillant sur l'appareil. Celui-ci a la forme d'un fichier zip qui contient un cheval de Troie. Une fois décompressé, le fichier (dont le Setup.exe) lance le dropper RomCom RAT.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
Pernel
Toujours aller chercher sur le site officiel de l’éditeur.
davidly
Puisque le vecteur de propagation est ici un faux site web, une partie de la responsabilité ne retombe-t-elle pas sur les moteurs de recherche ?<br /> Il y a quelques années, je me rappelle que certains résultats de recherche renvoyaient vers des sites complètement pollués, du style popup hyper agressifs et impossibles à fermer sauf en tuant le processus du navigateur.<br /> D’ailleurs, quelqu’un ici sait si le problème rencontré ci-dessus peut avoir pour cause un malware installé sur le client qui redirige le résultat de recherche, mais pas à tous les coups ? Je dirais une fois sur dix.
Voir tous les messages sur le forum

Derniers actualités

Scout, la fusée du
Connaissez-vous les salaires dans la cybercriminalité ? Vous allez être jaloux...
Impressionnée par le succès de ChatGPT, l'Europe veut encadrer l'IA
Soldes Amazon et Cdiscount : TOP 10 des offres folles à saisir ce week-end
Bon plan : profitez dès maintenant des offres avantageuses antivirus et VPN Norton !
Prix fou : CyberGhost vous offre son VPN avec 82% de réduction
Twitch : ces chiffres qui témoignent de l'incroyable succès de la plateforme
Réalisé en partie avec l'IA, cet anime Netflix fait déjà polémique
Nouveaux AirPods Max et AirPods d'entrée de gamme, c'est pour quand ?
Vous avez aimé ChatGPT ? Découvrez CatGPT
Haut de page