Aggiornamenti recenti Agosto 29th, 2025 5:25 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Migrazione a Windows 11: le aziende devono affrontare molte sfide, ma qualsiasi ritardo è pericoloso
- Android, più sicurezza con la verifica dell’identità sviluppatori
- IoT, i dispositivi connessi sono ancora troppo esposti alle minacce: l’allarme di ACN
- File Linux usati per furto di dati e spionaggio: la campagna di APT36
- CERT-AGID 16-22 agosto: registrato il primo abuso di Action1
Void Rabisu ha colpito il WPL Summit con una nuova versione della backdoor ROMCOM
I ricercatori di TrendMicro hanno individuato un nuovo attacco da parte di Void Rabisu, un gruppo di cybercriminali che nel corso del 2023 ha colpito organizzazioni militari e politiche ucraine e istituzioni dell’Unione Europea. L’ultima campagna ha preso di mira il Women Political Leaders (WPL) Summit, la conferenza che mira a promuovere l’uguaglianza di genere in politica.
Il gruppo ha creato un sito web falso che replicava il portale ufficiale del WPL Summit per ingannare le vittime. La home page proponeva agli utenti un pulsante per scaricare video e foto dell’evento che rimandava una cartella OneDrive con due file compressi e un eseguibile; quest’ultimo era un malware che, se eseguito, si presentava come un archivio autoestraente che salvava le foto dell’evento in una cartella specifica.
Mentre l’utente era distratto dalle foto dei partecipanti, prese dai cybercriminali su LinkedIn, X e Instagram, il malware inviava una richiesta HTTP per scaricare un payload malevolo e installare nuovo malware sul dispositivo target. Il malware in questione è ROMCOM, una backdoor in grado di ottenere le informazioni del sistema colpito e inviarle al server C2 controllato dagli attaccanti.
Pixabay
Void Rabisu ha utilizzato una nuova versione di ROMCOM chiamata PEAPOD, più leggera rispetto alle precedenti. PEAPOD usa solo 10 comandi, a differenza di quella subito prima, la versione 3.0, che ne usava 42. La nuova versione è in grado di scaricare nuovi payload sul dispositivo della vittima, anche relativi anche a ROMCOM 3.0 nel caso di attacchi più sofisticati.
La nuova versione del malware è di recente sviluppo, ciò significa che il gruppo sta attivamente migliorando la backdoor per colpire nuovi obiettivi ed eludere i controlli di sicurezza.
Non è ancora chiaro chi si celi dietro il gruppo e se esso agisca per conto di un ente governativo, ma a giudicare dai target è quasi certo che Void Rabisu si occupi di cyberspionaggio politico per le istituzioni.
Oltre al WPL Summit, il gruppo ha colpito anche la Munich Security Conference e la Masters of Digital Conference. È molto probabile che Void Rabisu continuerà a prendere di mira i partecipanti e gli interessati a questo tipo di eventi.
Condividi l'articolo
QRishing: aumentano gli attacchi di phishing tramite QR code
Diventare hacker etici: aperte le iscrizioni a OliCyber.IT e CyberTrials
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle... -
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto...
-
Android, più sicurezza con la verifica... Google ha deciso di aumentare la sicurezza dei dispositivi... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle...
-
File Linux usati per furto di dati e spionaggio: la... Il gruppo pakistano APT36, noto anche come Transparent... -
CERT-AGID 16-22 agosto: registrato il primo abuso di La scorsa settimana il CERT-AGID ha rilevato 81 campagne...
Ransomware: la serie
No posts found.