트렌드마이크로가 발견한 새로운 RomCom 멀웨어
트렌드마이크로는 유명하거나 가상의 웹 사이트를 사칭하여 사용자를 속여 유해한 소프트웨어를 다운로드하도록 유도하는 RomCom이라는 멀웨어가 포함된 새로운 캠페인을 발견했습니다.
트렌드마이크로 연구원들은 2022년 여름부터 RomCom을 모니터링해 왔으며, 이 멀웨어가 탐지를 피하는 능력을 개선하고 새로운 명령을 획득한 것을 발견했습니다. 공격자는 주로 원격 데스크톱 관리 애플리케이션과 관련된 웹 사이트를 사용하여 피싱 또는 사회 공학 전술을 사용할 가능성이 높아졌습니다.
롬콤이 처음 사용된 것으로 알려진 것은 2022년 8월 팔로알토 네트웍스가 보고한 것으로, 이 공격은 '트로피컬 스콜피우스'라는 랜섬웨어 계열사의 소행으로 추정됩니다. 트렌드 마이크로는 '보이드 라비수'와 동일한 행위자를 언급합니다.
RomCom 멀웨어는 2022년에 활동했으며 우크라이나, 미국, 브라질, 필리핀의 네트워크를 표적으로 삼았습니다. 이 멀웨어는 SolarWinds 네트워크 성능 모니터, 키패스 암호 관리자, PDF 리더 프로 등 합법적인 소프트웨어로 위장한 것으로 나타났습니다.
트렌드마이크로는 2022년 12월부터 2023년 4월까지 롬콤과 관련된 웹사이트를 발견했습니다. 이 웹사이트들은 김프(Gimp), 고투미팅(Go To Meeting), ChatGPT, 윈디어스탯(WinDirStat), 아스트라챗(AstraChat), 시스템 닌자(System Ninja), 데볼루션의 원격 데스크톱 관리자와 같은 인기 소프트웨어를 제공하는 것처럼 가장했습니다.
이 웹 사이트는 약속된 애플리케이션과 유사하지만 "InstallA.dll"이라는 악성 DLL 파일을 포함하는 트로이 목마 MSI 설치 프로그램을 배포했습니다. 이 파일을 실행하면 세 개의 추가 DLL이 피해자의 %PUBLIC%\Libraries 폴더로 추출되었습니다. 이 DLL은 명령 및 제어 서버 통신과 명령 실행을 담당했습니다.
최신 버전의 RomCom은 악성 명령의 수를 20개에서 42개로 늘려 공격자가 손상된 시스템을 광범위하게 제어할 수 있도록 했습니다. 이 멀웨어는 PID 스푸핑으로 프로세스를 실행하고, 데이터를 추출하고, SSH 프록시를 설정하고, 스스로 업데이트하고, 숨겨진 AnyDesk 인스턴스를 실행하고, 폴더를 압축하여 공격자의 서버로 전송할 수 있습니다.
트렌드마이크로는 또한 RomCom이 추가 멀웨어 페이로드를 설치한 것을 발견했습니다. 이러한 페이로드에는 유출을 위해 스크린샷을 캡처하고 압축하는 PhotoDirector.dll, 웹 브라우저 쿠키 탈취기인 procsys.dll, 암호화폐 지갑 탈취기인 wallet.exe, 인스턴트 메신저 채팅 탈취기인 msg.dll, FTP 자격 증명 탈취기인 FileInfo.dll이 포함되어 있습니다.
코드를 보호하고 탐지를 회피하기 위해 RomCom의 제작자는 코드 보호 및 안티 가상 머신 기능을 위한 VMProtect 소프트웨어를 사용했습니다. 이 멀웨어는 암호화 키의 외부 소스를 사용하여 페이로드를 암호화했습니다. 또한 네트워크 모니터링 도구의 탐지를 피하기 위해 명령 및 제어 통신에 널 바이트를 사용했습니다.
악성 웹사이트는 미국과 캐나다의 합법적인 회사에서 서명한 소프트웨어를 배포합니다. 그러나 이러한 회사는 가짜이거나 웹사이트에 표절된 콘텐츠가 있어 사용자를 속이려는 의도적인 시도를 나타냅니다.
이 글의 출처는 BleepingComputer의 기사입니다.