بدافزار RomCom از طریق Google Ads برای ChatGPT، GIMP و موارد دیگر منتشر می شود

کمپین جدیدی که بدافزار درپشتی RomCom را توزیع می‌کند، جعل هویت وب‌سایت‌های نرم‌افزارهای معروف یا خیالی است و کاربران را فریب می‌دهد تا نصب‌کننده‌های مخرب را دانلود و راه‌اندازی کنند.

جدیدترین کمپین توسط Trend Micro فاش شد که RomCom را از تابستان 2022 دنبال کرده است. محققان گزارش می دهند که عوامل تهدید در پشت این بدافزار با استفاده از رمزگذاری بار و مبهم سازی، فرار از آن را تشدید کرده اند و با معرفی دستورات جدید و قدرتمند، قابلیت های ابزار را گسترش داده اند. .

اکثر وب‌سایت‌هایی که برای توزیع RomCom به قربانیان استفاده می‌شوند، مربوط به برنامه‌های مدیریت دسک‌تاپ از راه دور هستند، که احتمال استفاده مهاجمان از فیشینگ یا مهندسی اجتماعی را برای نزدیک شدن به اهداف خود افزایش می‌دهد.

RomCom به باج افزار کوبا پیوند خورد

اولین استفاده مستند از RomCom در آگوست 2022 توسط Palo Alto Networks گزارش شد و این حملات را به یک باج افزار وابسته به کوبا که آن را “Tropical Scorpius” نامیدند، نسبت داد. Trend Micro از “Void Rabisu” برای ردیابی همان بازیگر استفاده می کند.

در اکتبر 2022، CERT-UA اوکراین گزارش داد که بدافزار RomCom در حملات علیه شبکه‌های حیاتی در کشور استفاده می‌شود.

گزارش دیگری که تقریباً به طور همزمان توسط بلک بری منتشر شد، ادعای ارتباط با باج‌افزار کوبا را داشت، اما حملات در اوکراین را تأیید کرد و همچنین نشان داد که قربانیان بدافزار در ایالات متحده، برزیل و فیلیپین نیز وجود دارد.

گزارش بعدی بلک بری در نوامبر 2022 نشان داد که RomCom چگونه نرم‌افزار قانونی را جعل کرده است، از جمله SolarWinds Network Performance Monitor (NPM)، مدیر رمز عبور KeePass و PDF Reader Pro.

کمپین فعلی

گزارش Trend Micro در مورد آخرین فعالیت RomCom چندین نمونه از وب‌سایت‌های مورد استفاده توسط اپراتورهای بدافزار را بین دسامبر 2022 و آوریل 2023 فهرست می‌کند که جعل نرم‌افزارهای قانونی مانند Gimp، Go To Meeting، ChatGPT، WinDirStat، AstraChat، System Ninja، Devolutions’ Remote Desktop Manager هستند. ، و بیشتر.

برخی از سایت های مخرب مورد استفاده در بازه زمانی مذکور عبارتند از:

• gllmp.com (آفلاین) – ویرایشگر تصویر رایگان و منبع باز را جعل می کند
• gotomeet.us (آفلاین) – جعل برنامه جلسه ویدیویی و کنفرانس ابری
• singularlabs.org (آفلاین) – یک ابزار تمیز کردن رایانه شخصی را جعل می کند
• chatgpt4beta.com (آنلاین) – جعل هویت پلت فرم چت بات مجهز به هوش مصنوعی
• astrachats.com (آفلاین) – نرم افزار چت امن را جعل می کند
• devolutionrdp.com (آنلاین) – یک ابزار مدیریت دسکتاپ از راه دور را جعل می کند
• cozy-sofware.com (آفلاین) – یک ابزار مدیریت دسکتاپ از راه دور را جعل می کند
• vectordmanagesoft.com (آفلاین) – یک ابزار مدیریت دسکتاپ از راه دور را جعل می کند
• devolrdm.com (آنلاین) – یک ابزار مدیریت دسکتاپ از راه دور را جعل می کند
• dirwinstat.com (آنلاین) – یک نمایشگر استفاده از دیسک و ابزار پاکسازی را جعل می کند

این سایت‌های جعلی از طریق تبلیغات گوگل و ایمیل‌های فیشینگ بسیار هدفمند تبلیغ می‌شوند و اکثر قربانیان در اروپای شرقی هستند.

وب‌سایت‌ها نصب‌کننده‌های MSI را توزیع می‌کنند که جعل برنامه وعده داده شده هستند، اما با یک فایل DLL مخرب (“InstallA.dll”) تروجانی شده‌اند.

این فایل سه DLL دیگر را در پوشه %PUBLIC%\Libraries قربانی استخراج می‌کند که ارتباطات سرور و اجرای فرمان را کنترل می‌کند.

آخرین نسخه محموله RomCom که توسط Trend Micro تجزیه و تحلیل شده است نشان می دهد که نویسندگان آن برای اجرای دستورات مخرب اضافی کار کرده اند و تعداد دستورات آنها از 20 به 42 افزایش یافته است.

برخی از دستورات برجسته ای که می توانند به دستگاه آلوده به RomCom فشار داده شوند عبارتند از:

• cmd.exe را راه اندازی کنید
• برای معرفی بارهای بیشتر، یک فایل را روی رایانه قربانی رها کنید.
• فرآیندی را با جعل PID ایجاد کنید تا قانونی به نظر برسد.
• استخراج داده ها از سیستم در معرض خطر.
• یک پروکسی از طریق SSH تنظیم کنید.
• بدافزار موجود در دستگاه را به روز کنید.
• AnyDesk را روی یک پنجره مخفی اجرا کنید.
• یک پوشه مشخص را فشرده کرده و به سرور مهاجمان ارسال کنید.

این دستورات قبلاً قابلیت‌های گسترده‌ای را به مهاجمان می‌دهد، اما شرکت امنیت سایبری گزارش می‌دهد که چندین مورد از نصب بدافزارهای اضافی از طریق RomCom مشاهده کرده است.

اجزای Stealer دانلود شده توسط RomCom در دستگاه های در معرض خطر عبارتند از:

• PhotoDirector.dll – یک ابزار اسکرین شات گرفتن که تصاویر را در آرشیوهای ZIP فشرده می کند تا از آنها خارج شود.
• procsys.dll – یک مرورگر وب (Chrome، Firefox، Edge) دزد کوکی ها.
• wallet.exe – دزد کیف پول ارزهای دیجیتال.
• msg.dll – دزد چت پیام رسان فوری.
• FileInfo.dll – یک دزد اعتبار FTP که داده ها را در سرور FTP آپلود می کند.

افزایش گریز

نویسندگان RomCom اکنون از نرم افزار VMProtect برای محافظت از کد و قابلیت های ضد VM استفاده می کنند. همچنین، از رمزگذاری برای محموله استفاده می‌کند که کلید آن سخت کدگذاری نشده است، اما توسط یک آدرس خارجی واکشی شده است.

این بدافزار از بایت های تهی در ارتباط C2 خود برای فرار از شناسایی ابزارهای نظارت بر شبکه استفاده می کند.

در نهایت، نرم‌افزار دانلود شده از وب‌سایت‌های مخرب توسط شرکت‌های به ظاهر قانونی که ظاهراً در ایالات متحده و کانادا مستقر هستند امضا می‌شوند، وب‌سایت‌های آنها مملو از محتوای جعلی یا سرقت علمی است.

RomCom با باج افزار، جاسوسی و جنگ همراه بوده است و اهداف دقیق اپراتورهای آن همچنان مبهم است. در هر صورت، این یک تهدید همه کاره است که می تواند خسارت قابل توجهی ایجاد کند.

Trend Micro فهرست جامعی از شاخص‌های سازش (IoCs) را برای آخرین کمپین RomCom و قوانین Yara ارائه کرده است تا به مدافعان کمک کند حملات را شناسایی و متوقف کنند.