RATA ROMCOM
ROMCOM RAT es una puerta trasera amenazante que está siendo utilizada por desarrolladores de amenazas llamados Tropical Scorpius, que está relacionado con Cuba Ransomware, también conocido como COLDDRAW.
El ROMCOM RAT está programado para eliminar archivos de rescate, recopilar la lista de procesos que se están ejecutando, iniciar un shell inverso y transferir datos a un servidor remoto. El ROMCOM RAT aún está en desarrollo y, en junio de 2022, se subió una muestra diferente a la base de datos de una empresa de seguridad.
La primera versión de ROMCOM RAT admite diez comandos:
- Deshabilitar un directorio determinado
- Volver a colocar listados de libros en un directorio determinado
- Recapitular a través de procesos activos y recopilar ID de acción
- Recuperar datos de unidades afiliadas
- Borrar archivo determinado
- Transferir hipotéticos a C2 como archivos ZIP y aplicaciones IShellDispatch a archivos de arquetipo
- Solo puede ser operado por ServiceMain, familiar para el servidor C2 y ordena la acción de adiós durante 120,000 ms
- Inicia una estructura de inversión debajo del nombre de audio svchelper.exe y la carpeta %ProgramData%
- Descargue hipotéticos y etiquete el archivo worker.txt en la carpeta %ProgramData%
- Genera una actividad en el PID Spoofing
La nueva variante brinda asistencia mejorada a 22 nuevos comandos, que incluyen la capacidad de capturar cargas útiles para capturar capturas de pantalla y recopilar una lista de aplicaciones instaladas y transmitirla al servidor de sus desarrolladores. Tropical Scorpius trabaja sin parar para mejorar sus armas, y cada vez que se lanza una nueva amenaza, se vuelve más sofisticada.