Wenn Sie auf eine Google-Anzeige stoßen, die für eine Website wirbt, auf der Sie bekannte oder erfundene Software herunterladen können, seien Sie sehr vorsichtig, da es sich möglicherweise nur um eine Malvertising-Kampagne handelt.
RomCom ist eine Backdoor-Malware, die alle möglichen bösen Taten anrichten kann, von der Ausführung von cmd.exe bis hin zum Ablegen weiterer bösartiger Payloads auf dem Zielendpunkt, von der Exfiltrierung von Daten von den kompromittierten Geräten bis hin zur Ausführung von AnyDEsk in einem versteckten Fenster, von der Komprimierung und dem Versenden von Ordnern über Hacker-eigene Server bis hin zur Einrichtung eines Proxys über SSH.
Darüber hinaus kann RomCOm Screenshots vom kompromittierten Computer erstellen, Cookies von gängigen Browsern stehlen, Kryptowährungs-Wallet-Daten, Chat-Nachrichten sowie Anmeldeinformationen und Passwörter stehlen.
Kürzlich entdeckten Cybersicherheitsforscher von Trend Micro eine neue Malvertising-Kampagne, die RomCom an ahnungslose Opfer weiterleitet. Die Bedrohungsakteure erstellten eine Reihe gefälschter Websites für legitime Software wie Gimp, Go To Meeting, ChatGPT, WinDirSTrat, AstraChat, System Ninja, Devolutions’ Remote Desktop Manager und andere.
Ziele in Osteuropa
Anschließend kauften sie Werbeflächen über das Werbenetzwerk von Google, um für die Websites zu werben. Abgesehen von Google-Werbung hätten die Angreifer auch „sehr gezielte“ Phishing-Angriffe durchgeführt, bei denen es um Opfer in Osteuropa ging, hieß es.
Während die Websites verschiedene Software zum Herunterladen anbieten, erhalten die Opfer in Wirklichkeit MSI-Installationsprogramme, die mit einer schädlichen DLL-Datei namens InstallA.dll trojanisiert sind. Diese Datei legt drei weitere DLLs auf dem Zielgerät ab, die mit dem C2-Server kommunizieren und weitere Anweisungen erhalten.
Die Forscher erklärten auch, wie die Angreifer begannen, VMProtec-Softwarecode zum Schutz vor Antivirenprogrammen zu verwenden. Sie verwenden auch eine Verschlüsselung für die Nutzlast. Darüber hinaus scheint die Software von legitimen Unternehmen signiert zu sein, die angeblich ihren Sitz in Nordamerika haben. Allerdings seien die Websites dieser Unternehmen „voller gefälschter oder plagiierter Inhalte“, hat BleepingComputer herausgefunden.
Die Ziele von RomCom variieren von Kampagne zu Kampagne, heißt es in der Veröffentlichung weiter und es wird behauptet, dass die Gruppe sowohl an Ransomware als auch an Spionage beteiligt war.
„Wie dem auch sei, es handelt sich um eine vielseitige Bedrohung, die erheblichen Schaden anrichten kann“, heißt es in dem Bericht abschließend.
Über: BleepingComputer