.
Uma mudança na implantação do tipo de malware RomCom ilustrou a distinção tênue entre ataques cibernéticos motivados por dinheiro e aqueles alimentados por geopolítica, neste caso a invasão ilegal da Ucrânia pela Rússia, de acordo com analistas da Trend Micro.
O fornecedor de infosec apontou que os operadores da RomCom, grupo de ameaças Void Rabisu, também têm links para o notório Cuba ransomwaree, portanto, avaliou que se tratava de uma organização criminosa com fins financeiros.
Mas em um relatório publicado esta semana, os pesquisadores escreveram que Void Rabisu usou RomCom contra o governo e militares da Ucrânia, bem como água, energia e entidades financeiras no país.
Fora da Ucrânia, os alvos incluíam um grupo do governo local ajudando refugiados ucranianos, uma empresa de defesa na Europa, provedores de serviços de TI nos EUA e na UE e um banco na América do Sul. Também houve campanhas contra pessoas que participaram de vários eventos, incluindo as conferências Masters of Digital e Munich Security.
A evolução da RomCom
O padrão de uso parece ter começado a mudar no outono passado.
Uma campanha dentro da Ucrânia usou uma versão fraudulenta do site de conscientização situacional DELTA do exército ucraniano para induzir as vítimas a baixar o RomCom por meio de navegadores com patches inadequados.
“Normalmente, esse tipo de ataque descarado seria considerado obra de um ator patrocinado por um estado-nação, mas, neste caso, os indicadores apontaram claramente para o Void Rabisu e algumas das táticas, técnicas e procedimentos (TTPs) usados eram tipicamente associados ao cibercrime”, escreveram os pesquisadores da Trend.
A empresa rastreia o Void Rabisu desde meados de 2022 e acredita que a gangue adicionou técnicas de evasão para tornar mais difícil para as ferramentas de segurança detectar o malware. A gangue também usou sites falsos que parecem promover software real ou falso – incluindo ChatGPT, Go To Meeting, AstraChat, KeePass e Veeam – para induzir as vítimas a baixar códigos maliciosos.
Os invasores empurram os sites falsos por meio de e-mails de phishing direcionados e anúncios do Google.
Com a combinação de alvos RomCom vistos pela Trend Micro, a Equipe Ucraniana de Resposta a Emergências de Computadores (CERT-UA) e Google, “uma imagem clara emerge dos alvos do backdoor RomCom: selecione alvos ucranianos e aliados da Ucrânia”, escreveram os pesquisadores.
Mais comandos, mais técnicas de evasão
O relatório detalha uma campanha de fevereiro de 2023 contra alvos na Europa Oriental, durante a qual criminosos incorporaram a versão mais recente do RomCom – 3.0 – em um pacote de instalação do software de mensagens instantâneas AstraChat.
Enquanto o RomCom recebe atualizações, sua arquitetura modular permanece. Três componentes – um carregador, um componente de rede para se comunicar com o servidor de comando e controle (C2) e um componente de trabalho que executa as ações no sistema da vítima – fazem seu trabalho sujo.
Dito isso, havia diferenças importantes em relação às versões anteriores, incluindo mais do que o dobro de comandos na versão 3.0, de 20 a 42, um alto número de comandos para um backdoor, escreveram os pesquisadores. O RomCom 3.0 também adicionou cargas maliciosas adicionais, incluindo aquelas que roubam cookies de navegador, bate-papos de mensagens instantâneas, carteiras de criptomoedas e credenciais de FTP.
Há também uma ferramenta que faz capturas de tela e comprime as imagens antes de serem extraídas.
Novas técnicas de anti-detecção incluem testes para detectar se o malware está sendo executado em uma máquina virtual, uma grande pista que os pesquisadores de segurança estão trabalhando. A criptografia para cargas úteis foi adicionada, com chaves de descriptografia localizadas em um endereço externo. Certificados válidos assinados por empresas americanas e canadenses aparentemente legítimas – que acabam sendo falsas – são empregados para dar credibilidade aos binários maliciosos.
Void Rabisu também adiciona bytes nulos aos arquivos do servidor C2 para torná-los maiores para evitar sandboxes ou scanners de segurança que têm um limite de tamanho de arquivo.
Alinhamento do mal em formação?
O RomCom está evoluindo para incluir recursos típicos de malware de cibercrime usado por grupos motivados financeiramente e invasores de ameaças persistentes avançadas (APT) impulsionados pela geopolítica, escreveram os pesquisadores da Trend Micro. Grupos como o Void Rabisu estão usando seu sofisticado malware para ganhar dinheiro e promover seus desejos políticos.
A Ucrânia tornou-se um ponto focal para este tipo de atividade. Gangues da APT, como a APT29 (também conhecida como Cozy Bear) e a Pawn Storm, ligadas à Rússia, têm como alvo o país e seus aliados, assim como o que a Trend Micro chama de “cibermercenários” como Void Balaur, hacktivistas como Killnetcibercriminosos como Void Rabisu e afiliados do grupo de ransomware como serviço Conti.
Embora nenhuma das campanhas desses grupos pareça ser coordenada, isso pode mudar. O que pode ser um problema.
“Esperamos que eventos geopolíticos significativos, como a atual guerra contra a Ucrânia, acelerem o alinhamento das campanhas de agentes de ameaças que residem na mesma região geográfica”, escreveram os pesquisadores. “Isso levará a novos desafios para os defensores, já que os ataques podem vir de muitos ângulos diferentes, e ficará menos claro quem é o ator responsável por eles.” ®
.
