Istraživači sajber bezbjednosti otkrili su novi talas kampanje Raspberry Robin koji propagira malver putem zlonamjernih Windows Script (WSF) datoteka od marta 2024.
“Istorijski gledano, poznato je da se Raspberry Robin širi putem prenosivih medija kao što su USB diskovi, ali s vremenom su njegovi distributeri eksperimentirali s drugim početnim vektorima infekcije”, rekao je istraživač HP Wolf Security Patrick Schläpfer u izvještaju koji je podijeljen za The Hacker News.
Raspberry Robin, koji se naziva i QNAP crv, prvi put je uočen u septembru 2021. godine i od tada je evoluirao u program za preuzimanje raznih drugih korisnih sadržaja u posljednjih nekoliko godina, kao što su SocGholish, Cobalt Strike, IcedID, BumbleBee i TrueBot, a takođe služi kao prekursor za ransomware.
Iako je zlonamjerni softver u početku distribuisan putem USB uređaja koji su sadržavali LNK datoteke koje su preuzimale teret sa kompromitovanog QNAP uređaja, od tada je usvojio druge metode kao što su društveni inženjering i malvertising.
To se pripisuje rastućoj hakerskoj grupi koju Microsoft prati kao Storm-0856, koja ima veze sa širim ekosistemom sajber kriminala koji se sastoji od grupa poput Evil Corp, Silence i TA505.
Najnoviji vektor distribucije podrazumijeva korištenje WSF datoteka koje se nude za preuzimanje preko različitih domena i poddomena.
Trenutno nije jasno kako napadači usmjeravaju žrtve na ove URL-ove, iako se sumnja da bi to moglo biti putem neželjene pošte ili zlonamjernih kampanja.
Jako zamućena WSF datoteka funkcioniše kao downloader za preuzimanje glavnog DLL korisnog opterećenja s udaljenog servera pomoću naredbe curl, ali ne prije nego što se izvrši serija antianaliznih i antivirtualnih evaluacija kako bi se utvrdilo da li se pokreće u virtuelizovanom okruženju.
Takođe je dizajniran da prekine izvršenje ako je broj izgradnje operativnog sistema Windows manji od 17063 (koji je objavljen u decembru 2017.) i ako lista pokrenutih procesa uključuje antivirusne procese povezane s Avast-om, Avira-om, Bitdefender-om, Check Point-om, ESET-om, i Kaspersky-m.
Štaviše, konfiguriše pravila isključivanja Microsoft Defender Antivirusa u pokušaju da zaobiđe detekciju dodavanjem cijelog glavnog diska na listu isključenja i sprječavanjem njegovog skeniranja.
“Same skripte trenutno nisu klasifikovane kao zlonamjerne od strane nijednog antivirusnog skenera na VirusTotalu, što pokazuje izbegavanje malvera i rizik da izazove ozbiljnu infekciju Raspberry Robinom”, rekao je HP.
“WSF downloader je jako zamućen i koristi mnoge tehnike analize koje omogućavaju malveru da izbjegne otkrivanje i uspori analizu.”
Izvor:The Hacker News