Los investigadores de ciberseguridad han descubierto una nueva ola de campaña Raspberry Robin que propaga el malware a través de archivos de script de Windows ( WSF ) maliciosos desde marzo de 2024.
«Históricamente, se sabía que Raspberry Robin se propagaba a través de medios extraíbles como unidades USB, pero con el tiempo sus distribuidores han experimentado con otros vectores de infección iniciales», dijo el investigador de HP Wolf Security, Patrick Schläpfer , en un informe compartido con The Hacker News.
Raspberry Robin, también llamado gusano QNAP, se detectó por primera vez en septiembre de 2021 y desde entonces ha evolucionado hasta convertirse en un descargador de otras cargas útiles en los últimos años, como SocGholish, Cobalt Strike, IcedID, BumbleBee y TrueBot, y también sirve como precursor de Secuestro de datos.
Si bien el malware se distribuyó inicialmente mediante dispositivos USB que contenían archivos LNK que recuperaban la carga útil de un dispositivo QNAP comprometido, desde entonces ha adoptado otros métodos , como la ingeniería social y la publicidad maliciosa.
Se atribuye a un grupo de amenazas emergentes rastreado por Microsoft como Storm-0856, que tiene vínculos con el ecosistema de cibercrimen más amplio que comprende grupos como Evil Corp, Silence y TA505.
El último vector de distribución implica el uso de archivos WSF que se ofrecen para descargar a través de varios dominios y subdominios.
Actualmente no está claro cómo los atacantes dirigen a las víctimas a estas URL, aunque se sospecha que podría ser a través de spam o campañas de publicidad maliciosa.
El archivo WSF, muy ofuscado, funciona como un descargador para recuperar la carga útil principal de la DLL de un servidor remoto usando el comando curl, pero no antes de que se lleven a cabo una serie de evaluaciones antianálisis y anti-máquinas virtuales para determinar si se está ejecutando en un entorno virtualizado.
También está diseñado para finalizar la ejecución si el número de compilación del sistema operativo Windows es inferior a 17063 (que se lanzó en diciembre de 2017) y si la lista de procesos en ejecución incluye procesos antivirus asociados con Avast, Avira, Bitdefender, Check Point, ESET. y Kaspersky.
Es más, configura las reglas de exclusión de Microsoft Defender Antivirus en un esfuerzo por eludir la detección agregando toda la unidad principal a la lista de exclusión y evitando que se analice.
«Los scripts en sí no están actualmente clasificados como maliciosos por ningún escáner antivirus en VirusTotal, lo que demuestra la evasión del malware y el riesgo de que cause una infección grave con Raspberry Robin», dijo HP.
«El descargador de WSF está muy ofuscado y utiliza muchas técnicas de análisis que permiten que el malware evada la detección y ralentice el análisis».
Fuente y redacción: thehackernews.com
