Unit 42 揭示了臭名昭著的 RomCom 恶意软件家族的新变体，称为“SnipBot”。这种复杂的恶意软件于 2024 年初首次被发现，旨在渗透企业网络、执行远程命令和下载其他恶意负载。SnipBot 代表了 RomCom 的最新版本，结合了新颖的代码混淆技术和先进的反检测策略。据信，这是针对 IT 服务、法人实体和农业等行业的更广泛活动的一部分。

2024 年 4 月，Unit 42 检测到一个不寻常的 DLL 模块，该模块后来被确定为 SnipBot 恶意软件工具包的一部分。研究人员重建了感染链和感染后活动。SnipBot 会经历几个阶段，最初的感染通常通过包含伪装可执行文件的网络钓鱼电子邮件传递，该文件通常伪装成合法的 PDF。

PDF 诱饵文档引向 SnipBot 下载器 |图片： Unit 42

文章原文链接:https://www.anquanke.com/post/id/300454