Avviso di problemi di Microsoft: RomCom coinvolto in un nuovo schema di phishing utilizzando documenti Word
In una preoccupante evoluzione, il gruppo di cybercriminali noto come Storm-0978, identificato anche come Charming Kitten da Microsoft, ha preso di mira vari settori, tra cui difesa, entità governative, telecomunicazioni e finanza in Europa e Nord America, utilizzando un nuovo backdoor chiamato RomCom.
Le tattiche del gruppo includono l'utilizzo di email ingannevoli per accedere a informazioni sensibili. In una recente campagna di phishing, hanno utilizzato un falso carico OneDrive per consegnare un backdoor simile a RomCom. In precedenza, avevano preso di mira organizzazioni con email maligne che fingevano di essere inviti alla NATO Summit in Lituania e relative al Congresso Mondiale Ucraino.
L'utilizzo di una vulnerabilità zero-day, CVE-2023-36884, in documenti Microsoft Word rappresenta un significativo rischio per gli utenti di questo software. Le similitudini tra RomCom e il backdoor utilizzato in una campagna precedente suggeriscono una possibile connessione tra i due.
Storm-0978 è noto per attività di ransomware e estorsione opportunistiche, furto di credenziali mirate e operazioni di intelligence. Utilizzano versioni truccate di software popolari, tra cui prodotti di Adobe, Advanced IP Scanner, SolarWinds Network Performance Monitor, SolarWinds Orion, KeePass e Signal, per installare backdoor RomCom. In attacchi motivati finanziariamente, utilizzano anche il ransomware Industrial Spy, scoperto per la prima volta nel maggio 2022.
Microsoft consiglia alle organizzazioni di bloccare tutte le applicazioni Office dal creare processi figlio per mitigare il rischio rappresentato da questi attacchi. L'indirizzo IP da cui sono state inviate le email maligne si trova in Ungheria.
Le campagne di phishing di RomCom potrebbero rappresentare una significativa minaccia per la sicurezza di vari settori in Europa e Nord America. È fondamentale che le organizzazioni rimangano vigili e prendano le precauzioni necessarie per proteggere le informazioni sensibili.
Leggi anche:
- La meravigliosa espansione della nebbia polverosa sconcerta gli astronomi vicino alle stelle supergiganti
- Intervista: una chiacchierata con Artur Tretjakevic di 18Peaches in the iGaming Sphere
- Lezioni dall'archivio di Sony Pictures WikiLeaks sul tema della sicurezza delle password
- Aggiornamento per GeForce Now di Nvidia: RTX 5080 ora disponibile per gli abbonati Ultimate, portando i vantaggi di Blackwell al cloud gaming.
