RATTO ROMCOM
Il ROMCOM RAT è una backdoor minacciosa utilizzata dagli sviluppatori di minacce di nome Tropical Scorpius, che è correlato al Cuba Ransomware, noto anche come COLDDRAW.
Il ROMCOM RAT è programmato per eliminare i file di riscatto, raccogliere l'elenco dei processi in esecuzione, avviare una shell inversa e trasferire i dati a un server remoto. Il ROMCOM RAT è ancora in fase di sviluppo e, a giugno/2022, un campione diverso è stato caricato nel database di una società di sicurezza.
La prima versione di ROMCOM RAT supporta dieci comandi:
- Disabilita una determinata directory
- Rimetti gli elenchi dei libri in una determinata directory
- Ricapitola tramite processi attivi e raccogli ID di azione
- Restituisci i dati dell'unità affiliata
- File determinato dall'eliminazione
- Trasferisci ipotetici in C2 come file ZIP e le applicazioni IShellDispatch in file archetipi
- Può essere gestito solo da ServiceMain, familiare al server C2 e comandare l'azione a letto per 120.000 ms
- Avvia una struttura di inversione sotto il nome svchelper.exe audio e la cartella %ProgramData%.
- Scarica le ipotesi ed etichetta il file worker.txt nella cartella %ProgramData%.
- Genera un'attività nel PID Spoofing
La nuova variante fornisce un'assistenza migliorata a 22 nuovi comandi, che includono la capacità di catturare i payload per catturare screenshot e raccogliere un elenco di applicazioni installate e trasmetterlo al server dei suoi sviluppatori. Tropical Scorpius sta lavorando senza sosta per migliorare le sue armi e ogni volta che viene rilasciata una nuova minaccia, diventa più sofisticata.