Nhóm hacker đang tiếp tục tung phần mềm độc hại RomCom RAT thông qua việc phân phối các phiên bản phần mềm giả mạo như SolarWinds Network Performance Monitor, trình quản lý mật khẩu KeePass và PDF Reader Pro bằng các trang web sao chép giả mạo.
Những phát hiện mới nhất được đưa ra một tuần sau khi công ty an ninh mạng Canada tiết lộ một chiến dịch lừa đảo trực tuyến triển khai một trojan truy cập từ xa có tên là RomCom RAT.
“Trong khi tải xuống bản dùng thử miễn phí từ trang SolarWinds hoặc KeePass giả mạo, một biểu mẫu đăng ký hợp pháp sẽ xuất hiện”, các nhà nghiên cứu giải thích.
“Nếu được điền đầy đủ thông tin, nhân viên bán hàng thực sự của SolarWinds có thể liên hệ với nạn nhân để theo dõi quá trình dùng thử sản phẩm. Kỹ thuật đó đánh lừa nạn nhân tin rằng ứng dụng được tải xuống và cài đặt gần đây là hoàn toàn hợp pháp.”
Sau khi công bố các ứng dụng trên, Palo Alto Networks Unit 42 cho biết họ cũng đã phát hiện ra một phiên bản của RomCom RAT được đóng gói dưới dạng trình cài đặt cho phần mềm Veeam Backup & Replication được lưu trữ trên một miền độc hại.
Giống như trong trường hợp của SolarWinds, việc tải xuống tệp trình cài đặt sẽ chuyển hướng nạn nhân đến một biểu mẫu nhắc nạn nhân nhập thông tin cá nhân của họ. Hơn nữa, kích thước của trình cài đặt đã sửa đổi là hơn 10GB, cho phép nó vượt qua các giải pháp bảo mật tự động.
Theo HackerNews