Raspberry Robin Returns: nova campanha de malware se espalhando pelos arquivos do FSM

Pesquisadores de segurança cibernética descobriram uma nova onda de campanha Raspberry Robin que propaga o malware por meio de arquivos maliciosos de script do Windows ( WSFs ) desde março de 2024.

“Historicamente, o Raspberry Robin era conhecido por se espalhar através de mídias removíveis, como unidades USB, mas com o tempo seus distribuidores experimentaram outros vetores de infecção iniciais”, disse o pesquisador da HP Wolf Security, Patrick Schläpfer , em um relatório compartilhado com o The Hacker News.

Raspberry Robin, também chamado de worm QNAP, foi detectado pela primeira vez em setembro de 2021 e desde então evoluiu para um downloader para várias outras cargas úteis nos últimos anos, como SocGholish, Cobalt Strike, IcedID, BumbleBee e TrueBot, e também servindo como um precursor para ransomware.

Embora o malware tenha sido inicialmente distribuído por meio de dispositivos USB contendo arquivos LNK que recuperavam a carga de um dispositivo QNAP comprometido, desde então ele adotou outros métodos , como engenharia social e malvertising.

É atribuído a um cluster de ameaças emergentes rastreado pela Microsoft como Storm-0856, que tem ligações com o ecossistema mais amplo do crime cibernético, composto por grupos como Evil Corp, Silence e TA505.

O vetor de distribuição mais recente envolve o uso de arquivos WSF que são oferecidos para download através de vários domínios e subdomínios.

Atualmente não está claro como os invasores estão direcionando as vítimas para esses URLs, embora se suspeite que isso possa ser por meio de spam ou campanhas de malvertising.

O arquivo WSF altamente ofuscado funciona como um downloader para recuperar a carga principal da DLL de um servidor remoto usando o comando curl, mas não antes de uma série de avaliações de anti-análise e anti-máquina virtual serem realizadas para determinar se ele está sendo executado em um ambiente virtualizado.

Também foi projetado para encerrar a execução se o número de compilação do sistema operacional Windows for inferior a 17063 (lançado em dezembro de 2017) e se a lista de processos em execução incluir processos antivírus associados a Avast, Avira, Bitdefender, Check Point, ESET e Kaspersky.

Além do mais, ele configura as regras de exclusão do Microsoft Defender Antivirus em um esforço para evitar a detecção, adicionando toda a unidade principal à lista de exclusão e impedindo que ela seja verificada.

“Atualmente, os scripts em si não são classificados como maliciosos por nenhum scanner antivírus do VirusTotal, demonstrando a evasão do malware e o risco de causar uma infecção grave pelo Raspberry Robin”, disse a HP.

“O downloader do WSF é altamente ofuscado e usa muitas técnicas de análise que permitem ao malware escapar da detecção e retardar a análise.”

Fonte: The Hacker News