Neue RomCom-Malware von TrendMicro aufgedeckt
Trend Micro hat eine neue Kampagne mit einer Malware namens RomCom entdeckt, die Benutzer zum Herunterladen von Schadsoftware verleitet, indem sie sich als bekannte oder fiktive Websites ausgibt.
Trend Micro Forscher haben RomCom seit Sommer 2022 beobachtet und festgestellt, dass die Malware ihre Fähigkeit, sich der Erkennung zu entziehen, verbessert und neue Befehle erhalten hat. Die Angreifer nutzen in erster Linie Websites, die mit Remote-Desktop-Management-Anwendungen in Verbindung stehen, was die Wahrscheinlichkeit erhöht, dass sie Phishing- oder Social-Engineering-Taktiken anwenden.
Der erste bekannte Einsatz von RomCom wurde im August 2022 von Palo Alto Networks gemeldet, wobei die Angriffe einem Ransomware-Ableger namens "Tropical Scorpius" zugeschrieben wurden. Trend Micro bezeichnet denselben Akteur als "Void Rabisu".
Die RomCom-Malware war im Jahr 2022 aktiv und zielte auf Netzwerke in der Ukraine, den Vereinigten Staaten, Brasilien und den Philippinen ab. Sie tarnte sich als legitime Software, darunter SolarWinds Network Performance Monitor, KeePass Password Manager und PDF Reader Pro.
Zwischen Dezember 2022 und April 2023 entdeckte Trend Micro Websites, die mit RomCom in Verbindung stehen. Diese Websites gaben vor, beliebte Software wie Gimp, Go To Meeting, ChatGPT, WinDirStat, AstraChat, System Ninja und Devolutions' Remote Desktop Manager anzubieten.
Die Websites verteilten trojanisierte MSI-Installationsprogramme, die den versprochenen Anwendungen ähnelten, aber eine bösartige DLL-Datei namens "InstallA.dll" enthielten. Wenn diese Datei ausgeführt wurde, extrahierte sie drei zusätzliche DLLs in den Ordner %PUBLIC%\Libraries des Opfers. Diese DLLs waren für die Kommunikation mit dem Command-and-Control-Server und die Ausführung von Befehlen zuständig.
In der neuesten Version von RomCom wurde die Anzahl der bösartigen Befehle von 20 auf 42 erhöht, was den Angreifern weitreichende Kontrolle über kompromittierte Systeme ermöglicht. Die Malware konnte Prozesse mit PID-Spoofing ausführen, Daten extrahieren, SSH-Proxys einrichten, sich selbst aktualisieren, versteckte Instanzen von AnyDesk ausführen, Ordner komprimieren und sie an den Server der Angreifer senden.
Trend Micro entdeckte auch, dass RomCom zusätzliche Malware-Nutzdaten installierte. Dazu gehörten PhotoDirector.dll, das Screenshots für die Exfiltration erfasst und komprimiert, procsys.dll, ein Webbrowser-Cookie-Dieb, wallet.exe, ein Kryptowährungs-Wallet-Dieb, msg.dll, ein Instant-Messenger-Chat-Dieb und FileInfo.dll, ein FTP-Anmeldedaten-Dieb.
Um ihren Code zu schützen und der Entdeckung zu entgehen, nutzten die Schöpfer von RomCom die Software VMProtect zum Schutz des Codes und zur Abwehr virtueller Maschinen. Die Malware verschlüsselte ihre Nutzdaten mit einer externen Quelle für den Verschlüsselungsschlüssel. Außerdem verwendete sie Null-Bytes in ihrer Befehls- und Kontrollkommunikation, um eine Erkennung durch Netzwerküberwachungs-Tools zu vermeiden.
Bösartige Websites verbreiten die Software, die von scheinbar legitimen Unternehmen in den USA und Kanada signiert ist. Diese Unternehmen sind jedoch gefälscht oder haben plagiierte Inhalte auf ihren Websites, was auf einen absichtlichen Versuch zur Täuschung der Benutzer hinweist.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.