Κυρώσεις των ΗΠΑ σε Ρωσικά ανταλλακτήρια κρυπτονομισμάτων
7 Οκτωβρίου, 2024Νέα εκστρατεία εκμετάλλευσης κρυπτονομισμάτων στο API του Docker Engine
9 Οκτωβρίου, 2024Η νέα παραλλαγή κακόβουλου λογισμικού RomCom, γνωστή ως SnipBot, στοχεύει συστήματα μέσω phishing επιθέσεων για την κλοπή δεδομένων.
Οι ερευνητές της Palo Alto Networks, Unit 42, ανακάλυψαν μια νέα έκδοση κακόβουλου λογισμικού μετά την ανάλυση ενός DLL module που χρησιμοποιείται στις επιθέσεις SnipBot. Οι τελευταίες καμπάνιες SnipBot στοχεύουν διάφορους τομείς, όπως υπηρεσίες ΙΤ, νομικά και γεωργία, με σκοπό την κλοπή δεδομένων. Το RomCom, ένα backdoor που χρησιμοποιήθηκε για την παράδοση του Cuba ransomware, έχει εξελιχθεί στην έκδοση RomCom 5.0, προσφέροντας 27 εντολές που διευκολύνουν την εξαγωγή δεδομένων. Οι δυνατότητες περιλαμβάνουν εκτέλεση εντολών, κλοπή αρχείων, και τροποποίηση του μητρώου των Windows.
Το SnipBot χρησιμοποιεί τεχνικές παραπλάνησης ελέγχου ροής και ανίχνευσης sandbox, αποθηκεύοντας τα κύρια modules του σε κρυπτογραφημένη μορφή στο Windows Registry. Η επίθεση συνήθως ξεκινά με phishing emails που περιέχουν συνδέσμους για κατεβάσματα ψευδών αρχείων όπως PDF, με σκοπό την παγίδευση του θύματος. Οι ερευνητές αναφέρουν ότι οι επιτιθέμενοι συλλέγουν πληροφορίες για το δίκτυο της εταιρείας και τον τομέα ελέγχου, κλέβοντας συγκεκριμένα αρχεία από τους φακέλους Documents, Downloads και OneDrive.
Στη συνέχεια, η εξαγωγή δεδομένων πραγματοποιείται μέσω του PuTTY Secure Copy client. Οι στόχοι των επιθέσεων SnipBot και RomCom φαίνεται να έχουν μετατοπιστεί από την οικονομική εκμετάλλευση σε επιχειρήσεις κατασκοπείας.