Allarme RomCom: il malware si diffonde via Google Ads, ChatGPT e GIMP

Attraverso una nuova e massiccia campagna, la diffusione del malware RomCom ha avuto una notevole impennata negli ultimi mesi.

L’azione criminosa in questione, va a pubblicizzare presunti siti Web relativi a software e servizi ben noti al pubblico, spingendo i visitatori a scaricare programmi che in realtà si rivelano un grande pericolo per l’utenza.

Secondo quanto riportato da Trend Micro, nel corso dell’ultimo anno i cybercriminali hanno integrato un sistema di crittografia e di offuscamento del payload, rendendolo ancora più difficile da rilevare l’agente malevolo. Non solo: l’introduzione di nuovi comandi eseguibili da remoto, hanno reso ancora più temibile RomCom.

Quali sono le app prese maggiormente di mira? Sebbene il malware abbia cambiato nel tempo i software falsificati, ad oggi i programmi “clonati” sono principalmente:

• Gimp;
• Go To Meeting;
• ChatGPT;
• WinDirStat;
• AstraChat;
• System Ninja;
• Devolutions’ Remote Desktop Manager.

A rendere ancora più efficace il lavoro di questo agente malevolo poi, vi è il fatto che spesso i cybercriminali promuovono i software contraffatti non solo attraverso e-mail, ma anche grazie a Google Ads, aumentando la credibilità del download agli occhi delle vittime.

Come evitare rischi come RomCom e malware simili?

A livello pratico, all’utente viene proposto un programma di installazione MSI che, pur rivelandosi effettivamente il software in questione, presentano anche un file DLL dannoso, ovvero InstallA.dll.

Una volta avviata l’app e attivato il DLL, vengono caricati altri file con la stessa estensione sul computer della vittima che consentono al criminale informatico di ottenere ampia libertà d’azione.

Come sottolineato da Trend Micro, l’infezione da RomCom permette di:

• Effettuare l’upload sul computer della vittima (con tanto di caricamento di ulteriori malware)
• Generare un processo con lo spoofing PID;
• Scaricare dati dal sistema compromesso;
• Impostare un proxy tramite SSH;
• Eseguire AnyDesk all’insaputa della vittima.

Per evitare malware di questo tipo, è bene dunque agire con estrema attenzione quando si procede con lo scaricamento di un software.

Lo stesso, deve sempre e comunque provenire da un sito ufficiale. Al di là dell’aspetto, per valutare la reale natura dello stesso è sufficiente dare uno sguardo all’URL: se questo è strano, molto probabilmente si tratta di un sito contraffatto.

Il supporto di un ottimo antivirus, poi, può aiutare ulteriormente a creare una strategia di protezione solida contro le tante minacce del Web.