RomCom恶意软件新攻击方式揭示
关键要点
Cuba勒索软件的关联方Void Rabisu利用伪装成合法软件的网站传播RomCom恶意软件。受害者主要集中在东欧,通过谷歌广告和钓鱼邮件进行攻击。最新版本的RomCom恶意软件新增了超过20个恶意命令,总共达到42个命令。RomCom具备较强的规避检测能力,结合了VMProtect软件和加密技术。近几个月,诸如ChatGPT、Gimp、AstraChat和Go To Meeting等合法软件伪装网站广泛出现,这些网站被Cuba勒索软件的关联方Void Rabisu又名热带蝎子用于传播新的RomCom恶意软件。这场攻势主要面向东欧地区,从2022年12月持续到2023年4月,正如BleepingComputer所报道的那样。攻击者利用谷歌广告和钓鱼邮件引导用户点击伪装网站,在这些网站上,用户可以下载带有恶意“InstallAdll”文件的MSI安装程序。根据趋势科技的报告,这种DLL文件能够提取负责指挥和控制的另外三个DLL文件到PUBLICLibraries文件夹中。
小火箭windows版进一步的调查显示,RomCom恶意软件的最新版本中添加了超过20个新的恶意命令,使得总命令数达到42个。其中一些命令还能够帮助下载各种窃取程序。RomCom还显示出其规避检测能力的增强,这得益于VMProtect软件的使用,以及加密技术和在C2通信中使用的空字节。这一切表明,攻击者的技术手段愈加复杂,网络安全形势愈发严峻。
相关链接 Cuba勒索软件的更多信息
攻击方式相关软件传播途径RomCom恶意软件ChatGPT Gimp AstraChat Go To Meeting谷歌广告、钓鱼邮件恶意DLL文件InstallAdllPUBLICLibraries新增恶意命令数量42个项随着网络安全威胁的不断升级,用户需保持警觉,避免在不明网站下载软件,并确保系统和应用程序的安全性。
