ROM COM RAT
Le ROMCOM RAT est une porte dérobée menaçante qui est utilisée par des développeurs de menaces nommés Tropical Scorpius, qui est lié au Cuba Ransomware, également connu sous le nom de COLDDRAW.
Le ROMCOM RAT est programmé pour supprimer les fichiers de rançon, collecter la liste des processus en cours d'exécution, démarrer un reverse shell et transférer des données vers un serveur distant. Le ROMCOM RAT est toujours en cours de développement et, en juin/2022, un échantillon différent a été téléchargé dans la base de données d'une société de sécurité.
La première version du ROMCOM RAT prend en charge dix commandes :
- Désactiver un répertoire déterminé
- Remettre les listes de livres sur un annuaire déterminé
- Récapitulez via des processus actifs et collectez des identifiants d'action
- Remettre les données du lecteur affilié
- Supprimer le fichier déterminé
- Transférez les hypothétiques vers C2 sous forme de fichiers ZIP et les applications IShellDispatch vers des fichiers archétypes
- Peut être exploité uniquement par ServiceMain, familier avec le serveur C2 et commande l'action au coucher pendant 120 000 ms
- Initie une structure d'inversion sous le nom svchelper.exe audio et le dossier %ProgramData%
- Téléchargez les hypothétiques et étiquetez le worker.txt dans le dossier %ProgramData%
- Génère une activité dans le PID Spoofing
La nouvelle variante fournit une assistance améliorée à 22 nouvelles commandes, qui incluent la capacité d'attraper des charges utiles pour saisir des captures d'écran et pour collecter une liste des applications installées et la transmettre au serveur de ses développeurs. Tropical Scorpius travaille sans relâche pour améliorer ses armes, et chaque fois qu'une nouvelle menace est lancée, elle devient plus sophistiquée.