据报道,Palo Alto Networks的Unit 42研究人员发现了RomCom恶意软件的一种新变体,称为SnipBot,该恶意软件已被用于多个领域的数据盗窃攻击,包括IT服务、法律和农业。SnipBot允许攻击者在网络内横向移动并从受感染的系统中窃取数据。这一发现是通过分析这些恶意活动中使用的DLL模块而得出的。
RomCom以前以传播Cuba勒索软件和执行有针对性的网络钓鱼操作而闻名,现已从其4.0版发展到SnipBot或RomCom 5.0。这个新变体通过引入更广泛的27个命令集来扩展前者的功能。这些命令可以更精确地控制数据盗窃操作,例如针对特定文件类型或目录以及使用7-Zip压缩被盗数据。
SnipBot还整合了先进的规避技术,包括基于窗口消息的控制流混淆和复杂的反沙盒方法,例如对可执行文件进行哈希检查和验证是否存在大量注册表项。这些增强功能使SnipBot成为网络犯罪分子的强大工具,从而加剧了目标行业的威胁形势。来源