İyi bilinen veya uydurma yazılımları indirebileceğiniz bir web sitesinin tanıtımını yapan bir Google reklamına rastlarsanız, çok dikkatli olun, çünkü bu bir kötü amaçlı reklam kampanyası olabilir.
RomCom, cmd.exe’yi çalıştırmaktan hedef uç noktaya daha fazla kötü amaçlı yük bırakmaya, güvenliği ihlal edilmiş cihazlardan veri sızdırmaya, AnyDEsk’i gizli bir pencerede çalıştırmaya, klasörleri sıkıştırmaya ve göndermeye kadar her türlü pisliği yapabilen bir arka kapı kötü amaçlı yazılımıdır. bilgisayar korsanlarının sahip olduğu sunuculara, SSH aracılığıyla proxy kurulumuna kadar.
Ayrıca RomCOm, güvenliği ihlal edilmiş bilgisayardan ekran görüntüleri alabilir, popüler tarayıcılardan çerezleri çalabilir, kripto para cüzdan verilerini, sohbet mesajlarını ve oturum açma kimlik bilgilerini ve şifrelerini çalabilir.
Son zamanlarda, Trend Micro’dan siber güvenlik araştırmacıları, RomCom’u masum kurbanlara iten yeni bir kötü amaçlı reklam kampanyası keşfetti. Tehdit aktörleri, meşru yazılımlar için Gimp, Go To Meeting, ChatGPT, WinDirSTrat, AstraChat, System Ninja, Devolutions’ Remote Desktop Manager ve diğerleri gibi bir dizi sahte web sitesi oluşturdu.
Doğu Avrupa’daki hedefler
Ardından, web sitelerini tanıtmak için Google’ın reklam ağı aracılığıyla reklam alanı satın alacaklardı. Google reklamları bir yana, saldırganların Doğu Avrupa’daki kurbanları hedef alan “yüksek düzeyde hedefli” kimlik avı saldırıları da düzenlediği söylendi.
Web siteleri indirilmek üzere çeşitli yazılımlar sunarken, gerçekte kurbanlar, InstallA.dll adlı kötü amaçlı bir DLL dosyasıyla truva atı haline getirilmiş MSI yükleyicileri alıyor. Bu dosya, C2 sunucusuyla iletişim kuran ve daha fazla talimat alan hedef aygıta üç DLL daha bırakır.
Araştırmacılar, saldırganların antivirüs programlarından korunmak için VMProtec yazılım kodunu nasıl kullanmaya başladıklarını da açıkladı. Ayrıca yük için şifreleme kullanırlar. Ayrıca, yazılımın Kuzey Amerika’da bulunduğu iddia edilen meşru şirketler tarafından imzalandığı görülüyor. Ancak BleepingComputer, bu şirketlerin web sitelerinin “sahte veya intihal içerikle dolu” olduğunu tespit etti.
Yayın ayrıca RomCom’un hedeflerinin kampanyadan kampanyaya değiştiğini belirtiyor ve grubun hem fidye yazılımı hem de casusluk faaliyetlerinde bulunduğunu iddia ediyor.
Rapor, “Durum ne olursa olsun, önemli hasara neden olabilecek çok yönlü bir tehdittir” sonucuna varıyor.
Aracılığıyla: BleepingBilgisayar