RomCom vírus: ismert szoftverek kerültek célkeresztbe

​A RomCom kártékony program ismert szoftvercégek meghamisított weboldalain keresztül terjed.
 

A RomCom trójai program már viszonylag régebb óta ismert a biztonsági kutatók előtt. Elsősorban akkor hívta fel magára a figyelmet, amikor ukrán szervezetek (köztük katonai intézmények) elleni támadásokban jutott szerephez. Az utóbbi napok történései azonban azt mutatják, hogy a károkozó kezdi elveszíteni az ukrajnai fókuszt, és szélesebb körű terjedésbe kezdett.
 
A BlackBerry biztonsági kutatóinak megfigyelése szerint a RomCom legutóbbi variánsa elsősorban a terjedési mechanizmusán változtatott. A kártevő mögött álló banda ugyanis elkezdett ismert szoftverfejlesztő cégek nevével visszaélni. Mindezt oly módon teszi, hogy hamis weboldalakat készít, amelyeken manipulált (fertőzött) telepítőprogramokat tesz közzé. Eddig az alábbi vállalatok, illetve alkalmazások nevével történő visszaélésekről hullt le a lepel a trójai kapcsán:

• KeePass
• PDF Reader Pro,
• SolarWinds NPM (Network Performance)
• Veeam

 
A fentiekből az is következik, hogy az elkövetők vállalati és egyéni felhasználókat is megpróbálnak lépre csalni az eredeti weblapokra megszólalásig hasonlító webhelyeikkel. Ezeknek a webcíme nyilván eltér az eredetiektől, de a csalók e téren is igyekeznek minél megtévesztőbb domain neveket használni.
 
Amennyiben a felhasználó egy kártékony telepítőt tölt le, akkor a számítógépére felkerülnek azok az összetevők, amelyek a RomCom komponenseinek távoli kiszolgálókról való letöltését elvégzik. Ez gyakorta annyit jelent, hogy az eredeti telepítők 1-2 újabb állománnyal egészülnek ki, illetve egy-egy telepítőfájl módosul.
 
A RomCom a fertőzött számítógépeken egy hátsó kaput nyit, majd fogadja a támadók parancsait. Legalább tízféle ártalmas művelet elvégzésére alkalmas, beleértve a jogosulatlan fájlműveleteket és az adatszivárogtatást is. A támadókkal, illetve a vezérlőszervereivel ICMP-alapon is képes kommunikálni.
 
A RomCom elleni védekezésben nem kizárólag a naprakészen tartott víruskeresők játszanak fontos szerepet, hanem a biztonságtudatos netezés is. Nagyon alaposan meg kell nézni a böngészőkben megjelenő webcímeket, és meggyőződni arról, hogy valóban ártalmatlan (eredeti) weblapról töltünk-e le szoftvereket.