Aggiornamenti recenti Ottobre 17th, 2025 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- In Italia oltre 2.000 attacchi settimana, ben più della media globale. La ricerca di Check Point
- ChatGPT Agent può essere usato per esfiltrare dati
- La complessità delle password non è così importante. Lo dice il NIST
- Da Ingecom a Ignition Italia: Exclusive Networks rafforza la sua presenza nel Sud Europa
- Apple si oppone alla verifica dell’età per il download delle app
Void Rabisu ha colpito il WPL Summit con una nuova versione della backdoor ROMCOM
I ricercatori di TrendMicro hanno individuato un nuovo attacco da parte di Void Rabisu, un gruppo di cybercriminali che nel corso del 2023 ha colpito organizzazioni militari e politiche ucraine e istituzioni dell’Unione Europea. L’ultima campagna ha preso di mira il Women Political Leaders (WPL) Summit, la conferenza che mira a promuovere l’uguaglianza di genere in politica.
Il gruppo ha creato un sito web falso che replicava il portale ufficiale del WPL Summit per ingannare le vittime. La home page proponeva agli utenti un pulsante per scaricare video e foto dell’evento che rimandava una cartella OneDrive con due file compressi e un eseguibile; quest’ultimo era un malware che, se eseguito, si presentava come un archivio autoestraente che salvava le foto dell’evento in una cartella specifica.
Mentre l’utente era distratto dalle foto dei partecipanti, prese dai cybercriminali su LinkedIn, X e Instagram, il malware inviava una richiesta HTTP per scaricare un payload malevolo e installare nuovo malware sul dispositivo target. Il malware in questione è ROMCOM, una backdoor in grado di ottenere le informazioni del sistema colpito e inviarle al server C2 controllato dagli attaccanti.
Pixabay
Void Rabisu ha utilizzato una nuova versione di ROMCOM chiamata PEAPOD, più leggera rispetto alle precedenti. PEAPOD usa solo 10 comandi, a differenza di quella subito prima, la versione 3.0, che ne usava 42. La nuova versione è in grado di scaricare nuovi payload sul dispositivo della vittima, anche relativi anche a ROMCOM 3.0 nel caso di attacchi più sofisticati.
La nuova versione del malware è di recente sviluppo, ciò significa che il gruppo sta attivamente migliorando la backdoor per colpire nuovi obiettivi ed eludere i controlli di sicurezza.
Non è ancora chiaro chi si celi dietro il gruppo e se esso agisca per conto di un ente governativo, ma a giudicare dai target è quasi certo che Void Rabisu si occupi di cyberspionaggio politico per le istituzioni.
Oltre al WPL Summit, il gruppo ha colpito anche la Munich Security Conference e la Masters of Digital Conference. È molto probabile che Void Rabisu continuerà a prendere di mira i partecipanti e gli interessati a questo tipo di eventi.
Condividi l'articolo
QRishing: aumentano gli attacchi di phishing tramite QR code
Diventare hacker etici: aperte le iscrizioni a OliCyber.IT e CyberTrials
Articoli correlati
Altro in questa categoria
Approfondimenti
-
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre... -
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo ha... -
La complessità delle password non è così importante. Lo... Aumentare la complessità delle password, richiedendo... -
Ricerca FireMon: il 60% dei firewall non supera i controlli... Secondo l’ultima ricerca di FireMon, azienda di... -
L’importanza delle coperture assicurative cyber per... Tra le conseguenze più impattanti degli attacchi...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre...
-
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo...
-
La complessità delle password non è così importante. Lo... Aumentare la complessità delle password, richiedendo...
-
Da Ingecom a Ignition Italia: Exclusive Networks rafforza... Dopo quasi trent’anni di attività nel mondo della... -
Apple si oppone alla verifica dell’età per il... In un nuovo post sul proprio blog, Apple ha espresso...
Ransomware: la serie
No posts found.