ROM COM RATO

O ROMCOM RAT é um backdoor ameaçador que está sendo usado por desenvolvedores de ameaças chamados Tropical Scorpius, que está relacionado ao Cuba Ransomware, também conhecido como COLDDRAW.

O ROMCOM RAT está programado para excluir arquivos de resgate, coletar a lista dos processos que estão sendo executados, iniciar um shell reverso e transferir dados para um servidor remoto. O ROMCOM RAT ainda está sendo desenvolvido e, em junho/2022, uma amostra diferente foi carregada no banco de dados de uma empresa de segurança.

A primeira versão do ROMCOM RAT suporta dez comandos:

• Desabilitar um determinado diretório
• Colocar de volta as listagens de livros em um diretório determinado
• Recapitule por meio de processos ativos e colete IDs de ação
• Colocar de volta os dados da unidade afiliada
• Excluir arquivo determinado
• Transferir hipotéticos para C2 como arquivos ZIP e aplicativos IShellDispatch para arquivos de arquétipo
• Pode ser operado apenas pelo ServiceMain, familiar ao servidor C2 e comandar a ação para beddy-bye por 120.000 ms
• Inicia uma estrutura de reversão abaixo do nome svchelper.exe audio e da pasta %ProgramData%
• Baixe hipotéticos e rotule o arquivo worker.txt na pasta %ProgramData%
• Gera uma atividade no PID Spoofing

A nova variante oferece assistência aprimorada a 22 novos comandos, que incluem a capacidade de capturar cargas úteis para capturar capturas de tela e coletar uma lista de aplicativos instalados e transmiti-la ao servidor de seus desenvolvedores. Tropical Scorpius está trabalhando sem parar para melhorar suas armas, e cada vez que uma nova ameaça é lançada, ela se torna mais sofisticada.