Malware Raspberry é Espalhado por meio de Scripts do Windows
16 de Abril de 2024

A equipe de cibersegurança da HP Threat Research identificou uma nova onda de ataques perpetrada pelos operadores do worm Raspberry Robin, que agora estão empregando arquivos de script do Windows (WSF) como um dos principais veículos para sua disseminação.

Essa técnica soma-se a outros métodos já observados, como a propagação por meio de unidades USB.

As novas campanhas, detectadas a partir de março, caracterizam-se pelo uso de arquivos WSF ofuscados, empregando estratégias sofisticadas para evitar análises.

O Raspberry Robin, um worm que afeta sistemas Windows detectado pela primeira vez em 2021, inicialmente alcançava seus alvos primariamente por meio de dispositivos de armazenamento removível, como unidades USB.

Com o tempo, seus operadores diversificaram os métodos de ataque, incluindo arquivos compactados (.rar, .zip) e até anúncios maliciosos para distribuir o malware.

Recentemente, em março, a estratégia evoluiu para a inclusão de arquivos de script do Windows em seu arsenal.

Esses arquivos, comumente utilizados por administradores de sistema para automatização de tarefas, passaram a ser um vetor para a disseminação do worm.

Conforme revelado em um relatório da HP Threat Research publicado na última quarta-feira(10), os arquivos WSF suportam linguagens de script como JScript e VBScript, que são processadas pelo Windows Script Host, um componente do sistema operacional Windows.

Os invasores disponibilizam esses arquivos maliciosos por meio de uma série de domínios e subdomínios sob seu controle.

Em meio às descobertas, observa-se que os arquivos de script desempenham a função de downloader, incorporando técnicas avançadas para evitar análises e detecção por máquinas virtuais (VMs).

A execução do payload malicioso é condicionada à confirmação de que o malware está operando em um sistema real, e não em uma ambiente controlado de teste, como sandboxes.

O malware realiza uma checagem em busca de softwares de segurança de fornecedores conhecidos, como Kaspersky, ESET, Avast, Avira, Check Point e Bitdefender, numa tentativa de evadir detecções.

Um ponto alarmante é que nenhuma solução antivírus disponível no VirusTotal marcou os arquivos analisados como maliciosos no momento da avaliação, evidenciando a capacidade de evasão do Raspberry Robin.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...