I ricercatori di Trend Micro hanno scoperto il malware RomCom che si finge GIMP e ChatGPT allo scopo di rubare i dati degli utenti colpiti.

Il malware è stato rilevato dai ricercatori nell’estate del 2022. Da allora si è assistito a un’escalation nei suoi metodi di evasione del rilevamento, grazie all’utilizzo della crittografia e l’offuscamento del payload. Inoltre, l’introduzione di nuovi comandi eseguibili da remoto, hanno reso ancora più preoccupante RomCom.
Oltre a queste tecniche di evasione, a renderlo ancora più efficace è il modo in cui viene distribuito. I cybercriminali utilizzano siti esca che spesso sembrano legittimi. Nello specifico il malware si nasconde dietro pagine Web apparentemente lecite, promosse su Google tramite Google Ads traendo così in inganno gli utenti.

Il rapporto di Trend Micro elenca diversi esempi di siti Web utilizzati dagli operatori di malware tra dicembre 2022 e aprile 2023 che impersonano software legittimo, come Gimp, Go To Meeting, ChatGPT, WinDirStat, AstraChat, System Ninja, Remote Desktop Manager di Devolutions, e altro ancora. Le campagne RomCom utilizzano anche e-mail di spear phishing altamente mirate.

Una volta attaccato il computer dell’utente colpito, il malware RomCom scarica altri file contenenti payload, per poi procedere con il furto di dati sensibili (immagini, cookie, informazioni relative alle criptovalute ecc.) che saranno inviati al server dell’attaccante.

Trend Micro ha fornito un elenco completo di indicatori di compromissione (IoC) per l’ultima campagna RomCom e le regole di Yara per aiutare i difensori a rilevare e fermare gli attacchi.

https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html

https://www.ilsoftware.it/allarme-romcom-il-malware-si-diffonde-via-google-ads-chatgpt-e-gimp/

 

 

Twitter
Visit Us
LinkedIn
Share
YOUTUBE