Неизвестные хакеры, использующие троян удаленного доступа под названием RomCom, 21 октября начали новую фишинговую кампанию, направленную на украинские военные учреждения. По словам исследователей из BlackBerry, это событие стало знаком того, что злоумышленники поменяли тактику – теперь они не вшивают вредоносный код в легитимные приложения (Advanced IP Scanner и pdfFiller), чтобы установить бэкдор на пораженные системы.
В последних атаках, которые направлены на украинские военные учреждения, хакеры начали использовать фишинговое электронное письмо со встроенной ссылкой, ведущей на фейковый веб-сайт, выгружающий на устройство жертвы загрузчик RomCom.
Важно отметить, что загрузчик подписан с помощью легитимного цифрового сертификата от Blythe Consulting sp. z o.o., это помогает вредоносу лучше скрываться от систем безопасности, чтобы затем извлечь и развернуть троян RomCom.
По словам специалистов, злоумышленники атакуют не только украинских военных, но и IT-компании, брокеров по операциям с пищевыми продуктами и предприятия-производители продуктов питания в США, Бразилии и на Филлипинах.
Напомним, совсем недавно RomCom засветился и в другой кибератаке. С его помощью партнеры группировки Cuba дерзко атаковали критически важную инфраструктуру на Украине. Для распространения вредоноса хакеры тоже использовали фишинговые письма.
Источник: SecurityLab