ClickCease TrendMicro descubre un nuevo malware RomCom

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

TrendMicro descubre un nuevo malware RomCom

15 de junio de 2023 - Equipo de RRPP de TuxCare

Trend Micro ha descubierto una nueva campaña de un malware llamado RomCom que engaña a los usuarios para que descarguen software dañino haciéndose pasar por sitios web conocidos o ficticios.

Los investigadores de Trend Micro llevan vigilando RomCom desde el verano de 2022 y han descubierto que el malware ha mejorado su capacidad para evitar ser detectado y ha obtenido nuevos comandos. Los atacantes utilizan principalmente sitios web relacionados con aplicaciones de gestión de escritorios remotos, lo que aumenta las posibilidades de utilizar tácticas de phishing o ingeniería social.

Palo Alto Networks informó del primer uso conocido de RomCom en agosto de 2022, atribuyendo los ataques a un ransomware afiliado llamado "Tropical Scorpius". Trend Micro se refiere al mismo actor como "Void Rabisu".

El malware RomCom estuvo activo en 2022 y se dirigió a redes de Ucrania, Estados Unidos, Brasil y Filipinas. Se hacía pasar por software legítimo, como SolarWinds Network Performance Monitor, el gestor de contraseñas KeePass y PDF Reader Pro.

Entre diciembre de 2022 y abril de 2023, Trend Micro descubrió sitios web asociados a RomCom. Estos sitios web simulaban ofrecer software popular como Gimp, Go To Meeting, ChatGPT, WinDirStat, AstraChat, System Ninja y Devolutions' Remote Desktop Manager.

Los sitios web distribuían instaladores MSI troyanizados que se parecían a las aplicaciones prometidas, pero contenían un archivo DLL malicioso llamado "InstallA.dll". Al ejecutarse, este archivo extraía tres DLL adicionales a la carpeta %PUBLIC%\Libraries de la víctima. Estas DLL eran responsables de las comunicaciones con el servidor de mando y control y de la ejecución de comandos.

La última versión de RomCom aumentó el número de comandos maliciosos de 20 a 42, dando a los atacantes un amplio control sobre los sistemas comprometidos. El malware podía ejecutar procesos con suplantación de PID, extraer datos, establecer proxies SSH, actualizarse a sí mismo, ejecutar instancias ocultas de AnyDesk, comprimir carpetas y enviarlas al servidor de los atacantes.

Trend Micro también descubrió que RomCom instalaba cargas útiles de malware adicionales. Estas cargas útiles incluían PhotoDirector.dll, que capturaba y comprimía capturas de pantalla para su exfiltración, procsys.dll, un ladrón de cookies de navegadores web, wallet.exe, un ladrón de monederos de criptomonedas, msg.dll, un ladrón de chats de mensajería instantánea, y FileInfo.dll, un ladrón de credenciales FTP.

Para proteger su código y eludir la detección, los creadores de RomCom utilizaron el software VMProtect para la protección del código y funciones antimáquina virtual. El malware cifró su carga útil utilizando una fuente externa para la clave de cifrado. También empleaba bytes nulos en sus comunicaciones de mando y control para evitar ser detectado por las herramientas de supervisión de redes.

Sitios web maliciosos distribuyen el software, que está firmado por empresas aparentemente legítimas de Estados Unidos y Canadá. Sin embargo, estas empresas son falsas o tienen contenidos plagiados en sus sitios web, lo que indica un intento deliberado de engañar a los usuarios.

Las fuentes de este artículo incluyen un artículo en BleepingComputer.

Resumen
TrendMicro descubre un nuevo malware RomCom
Nombre del artículo
TrendMicro descubre un nuevo malware RomCom
Descripción
Trend Micro ha descubierto una nueva campaña de un programa malicioso llamado RomCom que engaña a los usuarios para que descarguen programas dañinos.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín