A legújabb RomCom malware változat
A közelmúltban a Unit 42 felfedezte a RomCom malware család új változatát, a SnipBot-ot, és blogjukban bemutatják a támadó fertőzés utáni tevékenységét az áldozat rendszerén. Ez az új törzs a RomCom 3.0 és a PEAPOD (RomCom 4.0) korábbi verzióiban látottak mellett új trükköket és egyedi obfuszkálási módszereket is alkalmaz.
2024. április elején az Advanced WildFire nevű sandbox egy szokatlan DLL-modult azonosított, amelyről kiderült, hogy egy SnipBot nevű szélesebb eszközkészlet része. A kártevő minta vizsgálatával és a Cortex XDR telemetriai adatok felhasználásával a Unit 42-nek sikerült rekonstruálni a fertőzési láncot és a támadó későbbi lépéseit. További kapcsolódó kártevő törzseket is felfedeztek, amelyek 2023 decemberére nyúlnak vissza. Bár a támadó célja ismeretlen, a Unit 42 által megfigyelt viselkedés arra utal, hogy a kiberszereplő megpróbált átpivotálni az áldozat hálózatán és kiszivárogtatni bizonyos fájlokat.
A SnipBot lehetőséget ad a támadónak arra, hogy parancsokat hajtson végre és további modulokat töltsön le az áldozat rendszerére. Ez a RomCom malware egy új verziója, amely főként a RomCom 3.0-ra épül. Ugyanakkor olyan technikákat is tartalmaz, amelyeket a Trend Micro által RomCom 4.0-nak nevezett PEAPOD nevű mellékágában megjelenkek, ezért a Unit 42 az 5.0-s verziót rendelte hozzá.
Ez a fenyegetés több szakaszban működik, a kezdeti letöltő mindig egy futtatható fájl, amelyet további EXE-k vagy DLL-ek követnek. A Unit 42 által megfigyelt letöltőprogram következetesen érvényes kódaláíró tanúsítvánnyal volt aláírva, amelyet a fenyegetés elkövetője valószínűleg tanúsítványlopás vagy csalás útján szerzett meg egy új tanúsítvány megvásárlásához, míg a későbbi modulok nem voltak aláírva.
