RomCom恶意软件新攻击方式揭示

关键要点

• Cuba勒索软件的关联方Void Rabisu利用伪装成合法软件的网站传播RomCom恶意软件。
• 受害者主要集中在东欧，通过谷歌广告和钓鱼邮件进行攻击。
• 最新版本的RomCom恶意软件新增了超过20个恶意命令，总共达到42个命令。
• RomCom具备较强的规避检测能力，结合了VMProtect软件和加密技术。

近几个月，诸如ChatGPT、Gimp、AstraChat和Go To Meeting等合法软件伪装网站广泛出现，这些网站被Cuba勒索软件的关联方VoidRabisu（又名热带蝎子）用于传播新的RomCom恶意软件。这场攻势主要面向东欧地区，从2022年12月持续到2023年4月，正如所报道的那样。攻击者利用谷歌广告和钓鱼邮件引导用户点击伪装网站，在这些网站上，用户可以下载带有恶意“InstallA.dll”文件的MSI安装程序。根据趋势科技的报告，这种DLL文件能够提取负责指挥和控制的另外三个DLL文件到"%PUBLIC%Libraries"文件夹中。

进一步的调查显示，RomCom恶意软件的最新版本中添加了超过20个新的恶意命令，使得总命令数达到42个。其中一些命令还能够帮助下载各种窃取程序。RomCom还显示出其规避检测能力的增强，这得益于VMProtect软件的使用，以及加密技术和在C2通信中使用的空字节。这一切表明，攻击者的技术手段愈加复杂，网络安全形势愈发严峻。

相关链接 -

随着网络安全威胁的不断升级，用户需保持警觉，避免在不明网站下载软件，并确保系统和应用程序的安全性。