Các nhà khai thác của RomCom RAT đang tiếp tục phát triển các chiến dịch của họ với các phiên bản phần mềm giả mạo như SolarWinds Network Performance Monitor, KeePass password manager và PDF Reader Pro.
Mục tiêu của chiến dịch bao gồm các nạn nhân ở Ukraine và một số quốc gia nói tiếng Anh như Vương quốc Anh.
"Với vị trí địa lý của các mục tiêu và tình hình địa chính trị hiện tại, không chắc rằng tác nhân đe dọa RomCom RAT có động cơ thúc đẩy tội phạm mạng", Nhóm Nghiên cứu và Tình báo Mối đe dọa BlackBerry cho biết trong một phân tích mới.
Phát hiện mới nhất được đưa ra một tuần sau khi công ty an ninh mạng Canada tiết lộ một chiến dịch lừa đảo qua mạng nhằm vào các thực thể Ukraine để triển khai một trojan truy cập từ xa có tên RomCom RAT.
Tác nhân đe dọa chưa biết cũng đã được quan sát tận dụng các biến thể trojan của Advanced IP Scanner và pdfFiller làm ống nhỏ giọt để phân phối cấy ghép.
Lần lặp lại mới nhất của chiến dịch đòi hỏi phải thiết lập các trang web trông giống mồi nhử với một tên miền tương tự, tiếp theo là tải lên gói trình cài đặt phần mềm độc hại có chứa phần mềm độc hại, sau đó gửi email lừa đảo đến các nạn nhân được nhắm mục tiêu.
"Trong khi tải xuống bản dùng thử miễn phí từ trang SolarWinds giả mạo, một mẫu đăng ký hợp pháp sẽ xuất hiện," các nhà nghiên cứu giải thích.
"Nếu điền đầy đủ, nhân viên bán hàng thực sự của SolarWinds có thể liên hệ với nạn nhân để theo dõi quá trình thử nghiệm sản phẩm. Kỹ thuật đó khiến nạn nhân tin rằng ứng dụng được tải xuống và cài đặt gần đây là hoàn toàn hợp pháp ".
Nó không chỉ là phần mềm SolarWinds. Các phiên bản mạo danh khác liên quan đến trình quản lý mật khẩu phổ biến KeePass và PDF Reader Pro, bao gồm cả bằng tiếng Ukraina.
Việc sử dụng RomCom RAT cũng có liên quan đến các tác nhân đe dọa liên quan đến ransomware Cuba và Gián điệp công nghiệp, theo Palo Alto Networks Unit 42, công ty đang theo dõi nhóm ransomware dưới biệt danh Tropical Scorpius theo chủ đề chòm sao.
Với tính chất kết nối với nhau của hệ sinh thái tội phạm mạng, không rõ liệu hai tập hợp hoạt động có chia sẻ bất kỳ kết nối nào hay không hoặc nếu phần mềm độc hại được cung cấp để bán như một dịch vụ cho các tác nhân đe dọa khác.