Si vous tombez sur une annonce Google faisant la promotion d’un site Web sur lequel vous pouvez télécharger un logiciel bien connu ou inventé, soyez très prudent, car il pourrait très bien s’agir d’une campagne de publicité malveillante.
RomCom est un logiciel malveillant de porte dérobée qui peut faire toutes sortes de choses désagréables, de l’exécution de cmd.exe à la suppression de charges utiles plus malveillantes sur le terminal cible, de l’exfiltration de données des appareils compromis à l’exécution d’AnyDEsk dans une fenêtre cachée, de la compression et de l’envoi de dossiers. aux serveurs appartenant à des pirates, à la mise en place d’un proxy via SSH.
De plus, RomCOm peut capturer des captures d’écran de l’ordinateur compromis, voler des cookies de navigateurs populaires, voler des données de portefeuille de crypto-monnaie, des messages de chat et des identifiants de connexion et des mots de passe.
Récemment, des chercheurs en cybersécurité de Trend Micro ont découvert une nouvelle campagne de publicité malveillante poussant RomCom à des victimes sans méfiance. Les pirates ont créé un certain nombre de faux sites Web pour des logiciels légitimes tels que Gimp, Go To Meeting, ChatGPT, WinDirSTrat, AstraChat, System Ninja, Devolutions’ Remote Desktop Manager, etc.
Cibles en Europe de l’Est
Ensuite, ils achèteraient de l’espace publicitaire via le réseau publicitaire de Google pour promouvoir les sites Web. Mis à part les publicités Google, les attaquants se sont également livrés à des attaques de phishing « hautement ciblées », visant des victimes en Europe de l’Est, a-t-on dit.
Alors que les sites Web proposent divers logiciels à télécharger, en réalité, les victimes reçoivent des installateurs MSI, trojanisés avec un fichier DLL malveillant appelé InstallA.dll. Ce fichier dépose trois DLL supplémentaires dans le périphérique cible, qui communiquent avec le serveur C2 et reçoivent des instructions supplémentaires.
Les chercheurs ont également expliqué comment les attaquants ont commencé à utiliser le code logiciel VMProtec pour se protéger des programmes antivirus. Ils utilisent également le cryptage pour la charge utile. De plus, le logiciel semble être signé par des entreprises légitimes prétendument basées en Amérique du Nord. Cependant, les sites Web de ces entreprises sont « rempli de contenu faux ou plagié », a constaté BleepingComputer.
Les objectifs de RomCom varient d’une campagne à l’autre, indique encore la publication, affirmant que le groupe a été vu se livrant à la fois à des ransomwares et à de l’espionnage.
« Quoi qu’il en soit, il s’agit d’une menace polyvalente qui peut causer des dégâts importants », conclut le rapport.
Via : BleepingComputer