Ein trojanisches Pferd steht auf einem Notebook
Ein trojanisches Pferd steht auf einem Notebook
Bildquelle: AndreyPopov, Lizenz

KeePass & Co.: RomCom versteckt Trojaner in beliebten Tools

Die Hackergruppe RomCom missbraucht beliebte Software-Marken wie KeePass und SolarWinds, um einen Trojaner an ihre Opfer zu verteilen.

Die unter dem Namen RomCom agierende Hackergruppe nutzt beliebte Software-Marken wie KeePass und SolarWinds, um Ziele in der Ukraine mit einem Trojaner zu infiltrieren. Doch auch Großbritannien könnte im Visier der Angreifer stehen, wie Sicherheitsforscher herausfanden.

Hacker machen sich bekannte Software-Marken zunutze

Sicherheitsforscher des BlackBerry Research & Intelligence Teams haben eine neue Angriffskampagne einer Hackergruppe identifiziert, die unter dem Namen RomCom bekannt ist. Dabei machen sich die Cyberkriminellen mitunter die Marken SolarWinds und KeePass zunutze, um primär Ziele in der Ukraine anzugreifen. Doch auch Großbritannien scheint im Fokus der Hacker zu stehen, wie die Forscher aus den Nutzungsbedingungen von zwei der eingesetzten bösartigen Webseiten und dem SSL-Zertifikat eines neu eingerichteten Command-and-Control-Servers (C2) schließen.

Dabei nutzen die Angreifer ein bestimmtes wiederkehrendes Angriffsschema. Nachdem sie den HTML-Code von den originalen Webseiten des SolarWinds Network Performance Monitors, des KeePass Open-Source Password Managers oder des PDF Reader Pro kopiert haben, stellen sie eine manipulierte Version der Seite unter einer ähnlichen Domain bereit. Schließlich bieten die Hacker dort eine trojanisierte Variante der jeweiligen Software auf der neuen Webseite zum Download an und schicken gezielte Phishing-E-Mails an ihre Opfer.

Gefälschte KeePass- und SolarWinds-Webseiten verteilen RomCom RAT

Wie die Sicherheitsforscher in ihrem Bericht veranschaulichen, sind sich die originale und die gefälschte Version der Webseite des SolarWinds Network Performance Monitors zum Verwechseln ähnlich. Um die manipulierte Variante der Software herunterzuladen, erscheint ein Registrierungsformular. “Wenn es ausgefüllt wird, kann es sein, dass echte SolarWinds-Vertriebsmitarbeiter das Opfer kontaktieren, um die Produkttestversion weiter zu verfolgen“, erklären die Forscher. Das vermittle dem Opfer das Gefühl, die legitime SolarWinds-Anwendung erhalten zu haben. Tatsächlich habe es jedoch “unwissentlich einen Dropper für den RomCom-Remote-Access-Trojaner (RAT) heruntergeladen.

Vergleichbar gehen die Hacker mit dem beliebten Passwortmanager KeePass vor. Auch hier ist die gefälschte Webseite dem Original verblüffend ähnlich. In dem gezeigten Screenshot ist jedoch die abweichende Domain “keepas.org” ersichtlich. Wer dort das angebotene Paket “KeePass-2.52.zip” herunterlädt und entpackt, holt sich gleich zwei bösartige Dateien auf sein System. Eine “setup.exe“, die einen RomCom RAT-Dropper startet und eine “hlpr.dat“, die selbst einen solchen Dropper darstellt.

Gefälschte KeePass-Webseite
Gefälschte KeePass-Webseite / Quelle: BlackBerry

Neben der Ukraine scheinen auch britische Ziele im Fokus zu stehen

Bei ihren Untersuchungen sind die Sicherheitsforscher unter anderem auf gefälschte Webseiten für den Download von KeePass und PDF Reader Pro in ukrainischer Sprache gestoßen. Diese haben ihre Nutzungsbedingungen unter der gleichen URL hinterlegt und sollen von britischen Unternehmen gehostet worden sein.

Außerdem entdeckten die Forscher einen neuen, am 27. Oktober 2022 registrierten Command-and-Control-Server, dessen SSL-Zertifikat britische Eigentümer vortäuscht. Daraus schließt das BlackBerry Research & Intelligence Team, dass die Angreifer mitunter auch Ziele aus Großbritannien ins Visier genommen haben.

Tarnkappe.info

Kategorie: Hacking, Malware
Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.