Aggiornamenti recenti Gennaio 30th, 2026 5:19 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Hugging Face sfruttato per distribuire un trojan Android
- OpenSSL ha fixato 12 vulnerabilità scoperte da AISLE
- PackageGate: trovati sei bug zero-day nei package manager, ma NPM non interviene
- C’è Sandworm dietro l’attacco contro il settore energetico polacco
- Zendesk, sfruttato il sistema di ticketing per una campagna di spam massiva
Void Rabisu ha colpito il WPL Summit con una nuova versione della backdoor ROMCOM
I ricercatori di TrendMicro hanno individuato un nuovo attacco da parte di Void Rabisu, un gruppo di cybercriminali che nel corso del 2023 ha colpito organizzazioni militari e politiche ucraine e istituzioni dell’Unione Europea. L’ultima campagna ha preso di mira il Women Political Leaders (WPL) Summit, la conferenza che mira a promuovere l’uguaglianza di genere in politica.
Il gruppo ha creato un sito web falso che replicava il portale ufficiale del WPL Summit per ingannare le vittime. La home page proponeva agli utenti un pulsante per scaricare video e foto dell’evento che rimandava una cartella OneDrive con due file compressi e un eseguibile; quest’ultimo era un malware che, se eseguito, si presentava come un archivio autoestraente che salvava le foto dell’evento in una cartella specifica.
Mentre l’utente era distratto dalle foto dei partecipanti, prese dai cybercriminali su LinkedIn, X e Instagram, il malware inviava una richiesta HTTP per scaricare un payload malevolo e installare nuovo malware sul dispositivo target. Il malware in questione è ROMCOM, una backdoor in grado di ottenere le informazioni del sistema colpito e inviarle al server C2 controllato dagli attaccanti.
Pixabay
Void Rabisu ha utilizzato una nuova versione di ROMCOM chiamata PEAPOD, più leggera rispetto alle precedenti. PEAPOD usa solo 10 comandi, a differenza di quella subito prima, la versione 3.0, che ne usava 42. La nuova versione è in grado di scaricare nuovi payload sul dispositivo della vittima, anche relativi anche a ROMCOM 3.0 nel caso di attacchi più sofisticati.
La nuova versione del malware è di recente sviluppo, ciò significa che il gruppo sta attivamente migliorando la backdoor per colpire nuovi obiettivi ed eludere i controlli di sicurezza.
Non è ancora chiaro chi si celi dietro il gruppo e se esso agisca per conto di un ente governativo, ma a giudicare dai target è quasi certo che Void Rabisu si occupi di cyberspionaggio politico per le istituzioni.
Oltre al WPL Summit, il gruppo ha colpito anche la Munich Security Conference e la Masters of Digital Conference. È molto probabile che Void Rabisu continuerà a prendere di mira i partecipanti e gli interessati a questo tipo di eventi.
Condividi l'articolo
QRishing: aumentano gli attacchi di phishing tramite QR code
Diventare hacker etici: aperte le iscrizioni a OliCyber.IT e CyberTrials
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il 64% delle app di terze parti accede a dati sensibili... Dall’ultima ricerca di Reflectiz, “The State of... -
Microsoft smantella RedVDS, rete globale di... Microsoft ha annunciato di aver smantellato RedVDS, una... -
Allarme password aziendali deboli: più del 40% è... Gli utenti aziendali utilizzano ancora password deboli,... -
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un 2026... -
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Hugging Face sfruttato per distribuire un trojan Android I ricercatori di BitDefender hanno scoperto una campagna... -
OpenSSL ha fixato 12 vulnerabilità scoperte da AISLE Pochi giorni fa OpenSSL ha rilasciato alcune patch per... -
PackageGate: trovati sei bug zero-day nei package manager,... La società di sicurezza Koi Security ha pubblicato una... -
C’è Sandworm dietro l’attacco contro il... I ricercatori di ESET hanno scoperto che il tentativo di... -
Zendesk, sfruttato il sistema di ticketing per una campagna... Zendesk, nota piattaforma di ticketing, sta venendo...
Ransomware: la serie
No posts found.