Si se topa con un anuncio de Google que promociona un sitio web donde puede descargar un software conocido o inventado, tenga mucho cuidado, ya que muy bien podría ser solo una campaña de publicidad maliciosa.
RomCom es un malware de puerta trasera que puede hacer todo tipo de cosas desagradables, desde ejecutar cmd.exe hasta dejar caer más cargas maliciosas en el punto final de destino, desde filtrar datos de los dispositivos comprometidos hasta ejecutar AnyDEsk en una ventana oculta, desde comprimir y enviar carpetas. a los servidores propiedad de los piratas informáticos, a la configuración de un proxy a través de SSH.
Además, RomCOm puede obtener capturas de pantalla de la computadora comprometida, robar cookies de navegadores populares, robar datos de billeteras de criptomonedas, mensajes de chat y credenciales y contraseñas de inicio de sesión.
Recientemente, los investigadores de seguridad cibernética de Trend Micro descubrieron una nueva campaña de publicidad maliciosa que empuja a RomCom a víctimas desprevenidas. Los atacantes crearon varios sitios web falsos para software legítimo como Gimp, Go To Meeting, ChatGPT, WinDirSTRat, AstraChat, System Ninja, Devolutions’ Remote Desktop Manager y otros.
Objetivos en Europa del Este
Luego, comprarían espacios publicitarios a través de la red publicitaria de Google para promocionar los sitios web. Dejando a un lado los anuncios de Google, los atacantes también se han involucrado en ataques de phishing «altamente dirigidos», en busca de víctimas en Europa del Este, se dijo.
Si bien los sitios web ofrecen varios programas para descargar, en realidad las víctimas obtienen instaladores de MSI, troyanizados con un archivo DLL malicioso llamado InstallA.dll. Este archivo coloca tres DLL más en el dispositivo de destino, que se comunican con el servidor C2 y reciben más instrucciones.
Los investigadores también explicaron cómo los atacantes comenzaron a usar el código del software VMProtec para protegerse de los programas antivirus. También usan cifrado para la carga útil. Además, el software parece estar firmado por empresas legítimas supuestamente con sede en América del Norte. Sin embargo, los sitios web de estas empresas están «llenos de contenido falso o plagiado», ha descubierto BleepingComputer.
Los objetivos de RomCom varían de una campaña a otra, afirma además la publicación, afirmando que se vio al grupo participando tanto en ransomware como en espionaje.
“Sea cual sea el caso, es una amenaza versátil que puede causar daños importantes”, concluye el informe.
Vía: BleepingComputer