ROMCOM RATTE

ROMCOM RAT er en truende bakdør som brukes av trusselutviklere ved navn Tropical Scorpius, som er relatert til Cuba Ransomware, også kjent som COLDDRAW.

ROMCOM RAT er programmert til å slette løsepengerfiler, samle inn listen over prosessene som utføres, starte et omvendt skall og overføre data til en ekstern server. ROMCOM RAT er fortsatt under utvikling, og i juni/2022 ble en annen prøve lastet opp til databasen til et sikkerhetsselskap.

Den første versjonen av ROMCOM RAT støtter ti kommandoer:

• Deaktiver en bestemt katalog
• Sett tilbake bokoppføringer på en bestemt katalog
• Rekapituler via aktive prosesser og samle handlings-ID
• Sett tilbake tilknyttede stasjonsdata
• Slett bestemt fil
• Overfør hypotetiske data til C2 som ZIP-filer, og applikasjoner IShellDispatch til arketypefiler
• Kan kun betjenes av ServiceMain, kjent for C2-serveren og beordre handlingen til beddy-bye i 120 000 ms
• Starter en reverseringsstruktur under navnet svchelper.exe audio og %ProgramData%-mappen
• Last ned hypoteser og merk worker.txt i %ProgramData%-mappen
• Genererer en aktivitet i PID-spoofing

Den nye varianten gir forbedret assistanse til 22 nye kommandoer, som inkluderer muligheten til å fange nyttelast for å ta skjermbilder og samle en liste over installerte applikasjoner og overføre den til serveren til utviklerne. Tropical Scorpius jobber uavbrutt for å forbedre våpnene sine, og hver gang en ny trussel slippes ut, blir den mer sofistikert.