Pesquisadores de cibersegurança descobriram uma nova onda de campanhas Raspberry Robin que propaga o malware por meio de arquivos maliciosos do Windows Script Files (WSFs) desde março de 2024.
"Historicamente, Raspberry Robin era conhecido por se espalhar através de mídias removíveis como unidades USB, mas com o tempo seus distribuidores experimentaram outros vetores de infecção iniciais", disse o pesquisador da HP Wolf Security, Patrick Schläpfer, em um relatório compartilhado com The Hacker News.
Raspberry Robin, também conhecido como worm QNAP, foi detectado pela primeira vez em setembro de 2021 e desde então evoluiu para um downloader de vários outros payloads nos últimos anos, tais como SocGholish, Cobalt Strike, IcedID, BumbleBee e TrueBot, servindo também como um precursor para ransomware.
Embora o malware fosse inicialmente distribuído por meio de dispositivos USB contendo arquivos LNK que recuperavam o payload de um dispositivo QNAP comprometido, desde então adotou outros métodos, como engenharia social e malvertising.
É atribuído a um cluster de ameaças emergentes rastreado pela Microsoft como Storm-0856, que tem ligações com o ecossistema de cibercrime mais amplo, compreendendo grupos como Evil Corp, Silence e TA505.
O vetor de distribuição mais recente envolve o uso de arquivos WSF que são oferecidos para download por meio de vários domínios e subdomínios.
Atualmente, não está claro como os atacantes estão direcionando as vítimas para esses URLs, embora se suspeite que possa ser via campanhas de spam ou malvertising.
O arquivo WSF altamente ofuscado funciona como um downloader para recuperar o payload principal do DLL de um servidor remoto, utilizando o comando curl, mas não antes de uma série de avaliações anti-análise e anti-máquina virtual serem realizadas para determinar se está sendo executado em um ambiente virtualizado.
Também é projetado para encerrar a execução se o número de build do sistema operacional Windows for inferior a 17063 (que foi lançado em dezembro de 2017) e se a lista de processos em execução incluir processos de antivírus associados a Avast, Avira, Bitdefender, Check Point, ESET e Kaspersky.
Além disso, configura regras de exclusão do Microsoft Defender Antivirus em um esforço para se desviar da detecção, adicionando toda a unidade principal à lista de exclusões e impedindo que seja escaneada.
"Os scripts em si atualmente não são classificados como maliciosos por nenhum scanner anti-vírus no VirusTotal, demonstrando o poder de evasão do malware e o risco de causar uma infecção grave com o Raspberry Robin", disse a HP.
"O downloader WSF é altamente ofuscado e utiliza muitas técnicas de anti-análise, permitindo que o malware evite a detecção e desacelere a análise."
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...