RomCom vírus: ismert szoftverek kerültek célkeresztbe

​A RomCom kártékony program ismert szoftvercégek meghamisított weboldalain keresztül terjed.
 

A RomCom trójai program már viszonylag régebb óta ismert a biztonsági kutatók előtt. Elsősorban akkor hívta fel magára a figyelmet, amikor ukrán szervezetek (köztük katonai intézmények) elleni támadásokban jutott szerephez. Az utóbbi napok történései azonban azt mutatják, hogy a károkozó kezdi elveszíteni az ukrajnai fókuszt, és szélesebb körű terjedésbe kezdett.
 
A BlackBerry biztonsági kutatóinak megfigyelése szerint a RomCom legutóbbi variánsa elsősorban a terjedési mechanizmusán változtatott. A kártevő mögött álló banda ugyanis elkezdett ismert szoftverfejlesztő cégek nevével visszaélni. Mindezt oly módon teszi, hogy hamis weboldalakat készít, amelyeken manipulált (fertőzött) telepítőprogramokat tesz közzé. Eddig az alábbi vállalatok, illetve alkalmazások nevével történő visszaélésekről hullt le a lepel a trójai kapcsán:

• KeePass
• PDF Reader Pro,
• SolarWinds NPM (Network Performance)
• Veeam

 
A fentiekből az is következik, hogy az elkövetők vállalati és egyéni felhasználókat is megpróbálnak lépre csalni az eredeti weblapokra megszólalásig hasonlító webhelyeikkel. Ezeknek a webcíme nyilván eltér az eredetiektől, de a csalók e téren is igyekeznek minél megtévesztőbb domain neveket használni.
 
Amennyiben a felhasználó egy kártékony telepítőt tölt le, akkor a számítógépére felkerülnek azok az összetevők, amelyek a RomCom komponenseinek távoli kiszolgálókról való letöltését elvégzik. Ez gyakorta annyit jelent, hogy az eredeti telepítők 1-2 újabb állománnyal egészülnek ki, illetve egy-egy telepítőfájl módosul.