WPL Summit 2023, il sito clonato e utilizzato per attacchi phishing

La piattaforma dedicata al summit del Women Political Leaders (WPL) è stata presa di mira da alcuni hacker. L’evento, previsto per il 19 e 20 ottobre, si terrà a Bruxelles ed è focalizzato sull’impegno delle donne in politica.

Stando a un rapporto di Trend Micro, in questa operazione è stato utilizzata una variante della backdoor nota come RomCom e, il gruppo implicato in questo attacco, sembra essere riconducibile al collettivo Void Rabisu. La campagna ha sfruttato un sito Web falso, una sorta di clone della piattaforma ufficiale della manifestazione, per adescare partecipanti o semplici interessati rispetto all’iniziativa.

Secondo le ricostruzioni degli esperti, l’operazione di Void Rabisu è partita nell’agosto 2023, con la creazione del sito Web malevolo, progettato per essere quanto più simile possibile a quello ufficiale del WPL summit 2023. Mentre quest’ultimo si presentava con dominio .org (wplsummit.org), di fatto, il suo “gemello malvagio” risultava essere un .com.

Il sito falso si collegava a una cartella OneDrive tramite un pulsante denominato Videos & photo, che conteneva immagini dei due giorni dell’evento, prese dal sito autentico, e un downloader di malware denominato Unpublished Pictures (ovvero Immagini non pubblicate).

L’eseguibile dannoso è un archivio autoestraente contenente 56 foto che fungono da esche, mentre un secondo file crittografato viene scaricato da un host remoto.

WPL Summit 2023 nel mirino di RomCom e degli hacker di Void Rabisu

Il secondo payload è una DLL che viene decrittografata e caricata in memoria per eludere il rilevamento e continua a recuperare componenti aggiuntivi necessari per stabilire la comunicazione con il server dell’aggressore.

Trend Micro identifica l’ultima variante di RomCom come la quarta versione principale della backdoor, spiegando che si tratta dello stesso malware che i ricercatori di Volexity hanno recentemente chiamato Peapod.

Rispetto a RomCom 3.0, la versione precedente vista nelle operazioni Void Rabisu, la nuova variante ha subito modifiche significative, che di fatto l’hanno resa più leggera e furtiva della precedente. Oltre a una serie di nuovi comandi, RomCom 4.0 ha anche incorporato nuove funzionalità relative al Transport Layer Security (TLS), un protocollo progettato per offrire una comunicazione sicura con il server C2.

Al di là di quanto detto finora, buona parte delle tattiche utilizzate da Void Rabisu con RomCom in questa operazione rimangono avvolte da un certo alone di mistero. Tuttavia è chiaro che lo sviluppo delle backdoor è ancora in corso e che i suoi operatori sono sempre più concentrati sullo spionaggio informatico di alto livello.

Trend Micro conclude che è molto probabile che Void Rabisu non si limiterà al WPL Summit 2023 ma che, nel corso dei prossimi mesi, potrebbe colpire con strategie simili anche altri grandi eventi.