En ataques recientes, los ciberdelincuentes han utilizado el peligroso troyano ROMCOM.
El otro campo de batalla en el que se libra la sucia guerra e ilegal e invasión de Ucrania por parte de las tropas comunistas soviéticas comandadas por Putin, apoyadas por sus aliados en el mundo, es sin duda el universo cibernético, donde cada día asistimos a una guerra sin cuartel.
El Equipo Ucraniano de Respuesta Rápida a Incidentes Informáticos (CERT-UA) advierte sobre posibles ataques de operadores cubanos a infraestructura crítica ucraniana. El 21 de octubre de 2022, CERT-UA de Ucrania descubrió una campaña de phishing durante la cual los atacantes en los correos electrónicos se hicieron pasar por el servicio de prensa de las Fuerzas Armadas de Ucrania del Estado Mayor General.
Los correos electrónicos de phishing contenían un enlace a un sitio web que comenzó a descargar automáticamente un documento llamado «Nakaz_309.pdf». Este sitio web ha sido diseñado de tal manera que obliga al lector a actualizar el software (PDF Reader).
Y si la víctima todavía está en ello y hace clic en el botón «DESCARGAR», se bajará en su ordenador un archivo exe con el nombre «AcroRdrDCx642200120169_uk_UA.exe». Al ejecutar el programa decodificará y activará la DLL «rmtpak.dll», que es un agresivo troyano de acceso remoto (RAT) llamado ROMCOM.
Este malware se comunica con los servidores C&C a través de solicitudes ICMP realizadas a través de las funciones de la API de Windows. Además, ROMCOM RAT admite nueve comandos básicos:
- Obtiene información sobre el disco conectado.
- Obtiene listas de archivos para el directorio especificado.
- Ejecuta el shell inverso svchelper.exe en la carpeta %ProgramData%.
- Carga datos en el servidor de administración como un archivo ZIP usando IShellDispatch para copiar archivos.
- Descarga los datos y los escribe en worker.txt en la carpeta %ProgramData%.
- Elimina el archivo especificado.
- Elimina el directorio especificado.
- Crea un proceso con suplantación de identidad de PID.
- Procesa solo el ServiceMain recibido del servidor de gestión y lo anula durante 120.000 ms.
- Atraviesa procesos en ejecución y recopila sus ID.
Recuerda que anteriormente este troyano de acceso remoto fue utilizado por Tropical Scorpius (también conocido como UNC2596), rastreado por CERT-UA con el identificador UAC-0132 y distribuyendo malware desde Cuba.
La advertencia de CERT-UA decía que dado el uso de la puerta trasera RomCom, así como otras características de los archivos asociados, creían que es posible conectar la actividad detectada con la actividad del grupo Tropical Scorpius (también conocido como UNC2596), que es responsable de distribuir ransomware desde Cuba.
Para defenderse de este tipo de ataques es capital contar con un Ethical Hacker. De toda la oferta existente en el mercado formativo te recomendamos la Certificación en Hacking Ético-Pentesting de la Evidentia University de EE.UU; ya que en tan sólo 12 semanas, sin conocimiento previo, puedes convertirte en un experto en la materia. Además si utilizas este Código: copyhack, obtendrás un descuento del 10% en tu matrícula por ser uno de nuestros fieles lectores. No pierdas la oportunidad de formarte en una profesión con gran proyección de futuro, en la que sus profesionales ganan una media de 3672€ al mes.
