
Pesquisadores de segurança cibernética descobriram uma nova onda de campanha Raspberry Robin que propaga o malware por meio de arquivos maliciosos de script do Windows ( WSFs ) desde março de 2024.
“Historicamente, o Raspberry Robin era conhecido por se espalhar através de mídias removíveis, como unidades USB, mas com o tempo seus distribuidores experimentaram outros vetores de infecção iniciais”, disse o pesquisador da HP Wolf Security, Patrick Schläpfer , em um relatório compartilhado com o The Hacker News.
Raspberry Robin, também chamado de worm QNAP, foi detectado pela primeira vez em setembro de 2021 e desde então evoluiu para um downloader para várias outras cargas úteis nos últimos anos, como SocGholish, Cobalt Strike, IcedID, BumbleBee e TrueBot, e também servindo como um precursor para ransomware.
Embora o malware tenha sido inicialmente distribuído por meio de dispositivos USB contendo arquivos LNK que recuperavam a carga de um dispositivo QNAP comprometido, desde então ele adotou outros métodos , como engenharia social e malvertising.
É atribuído a um cluster de ameaças emergentes rastreado pela Microsoft como Storm-0856, que tem ligações com o ecossistema mais amplo do crime cibernético, composto por grupos como Evil Corp, Silence e TA505.
O vetor de distribuição mais recente envolve o uso de arquivos WSF que são oferecidos para download através de vários domínios e subdomínios.
Atualmente não está claro como os invasores estão direcionando as vítimas para esses URLs, embora se suspeite que isso possa ser por meio de spam ou campanhas de malvertising.
O arquivo WSF altamente ofuscado funciona como um downloader para recuperar a carga principal da DLL de um servidor remoto usando o comando curl, mas não antes de uma série de avaliações de anti-análise e anti-máquina virtual serem realizadas para determinar se ele está sendo executado em um ambiente virtualizado.
Também foi projetado para encerrar a execução se o número de compilação do sistema operacional Windows for inferior a 17063 (lançado em dezembro de 2017) e se a lista de processos em execução incluir processos antivírus associados a Avast, Avira, Bitdefender, Check Point, ESET e Kaspersky.
Além do mais, ele configura as regras de exclusão do Microsoft Defender Antivirus em um esforço para evitar a detecção, adicionando toda a unidade principal à lista de exclusão e impedindo que ela seja verificada.
“Atualmente, os scripts em si não são classificados como maliciosos por nenhum scanner antivírus do VirusTotal, demonstrando a evasão do malware e o risco de causar uma infecção grave pelo Raspberry Robin”, disse a HP.
“O downloader do WSF é altamente ofuscado e usa muitas técnicas de análise que permitem ao malware escapar da detecção e retardar a análise.”
Fonte: The Hacker News
+Mais
Microsoft descobre ataques cibernéticos globais do subgrupo Sandworm em mais de 15 países
Apple corrige vulnerabilidade no iOS 0Day explorada ativamente em atualização de emergência
Criminosos exploram sites do Governo de MS e prefeituras e redirecionam para jogos de azar