A equipe de cibersegurança da HP Threat Research identificou uma nova onda de ataques perpetrada pelos operadores do worm Raspberry Robin, que agora estão empregando arquivos de script do Windows (WSF) como um dos principais veículos para sua disseminação.
Essa técnica soma-se a outros métodos já observados, como a propagação por meio de unidades USB.
As novas campanhas, detectadas a partir de março, caracterizam-se pelo uso de arquivos WSF ofuscados, empregando estratégias sofisticadas para evitar análises.
O Raspberry Robin, um worm que afeta sistemas Windows detectado pela primeira vez em 2021, inicialmente alcançava seus alvos primariamente por meio de dispositivos de armazenamento removível, como unidades USB.
Com o tempo, seus operadores diversificaram os métodos de ataque, incluindo arquivos compactados (.rar, .zip) e até anúncios maliciosos para distribuir o malware.
Recentemente, em março, a estratégia evoluiu para a inclusão de arquivos de script do Windows em seu arsenal.
Esses arquivos, comumente utilizados por administradores de sistema para automatização de tarefas, passaram a ser um vetor para a disseminação do worm.
Conforme revelado em um relatório da HP Threat Research publicado na última quarta-feira(10), os arquivos WSF suportam linguagens de script como JScript e VBScript, que são processadas pelo Windows Script Host, um componente do sistema operacional Windows.
Os invasores disponibilizam esses arquivos maliciosos por meio de uma série de domínios e subdomínios sob seu controle.
Em meio às descobertas, observa-se que os arquivos de script desempenham a função de downloader, incorporando técnicas avançadas para evitar análises e detecção por máquinas virtuais (VMs).
A execução do payload malicioso é condicionada à confirmação de que o malware está operando em um sistema real, e não em uma ambiente controlado de teste, como sandboxes.
O malware realiza uma checagem em busca de softwares de segurança de fornecedores conhecidos, como Kaspersky, ESET, Avast, Avira, Check Point e Bitdefender, numa tentativa de evadir detecções.
Um ponto alarmante é que nenhuma solução antivírus disponível no VirusTotal marcou os arquivos analisados como maliciosos no momento da avaliação, evidenciando a capacidade de evasão do Raspberry Robin.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...