Новости От USB до WSF: Raspberry Robin эволюционировал, чтобы обхитрить любой антивирус

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
В портфолио вредоноса появилось множество уловок с 2021 года.


clbubid380mdtylwvlh97z0csb9ptmbo.jpg


Исследователи обнаружили новую масштабную атаку с использованием вредоносной программы Raspberry Robin . С марта 2024 года злоумышленники активно распространяют ее при помощи модифицированных файлов Windows Script Files (WSF).

Как отмечает исследователь Для просмотра ссылки Войди или Зарегистрируйся , Патрик Шлепфер, ранее Raspberry Robin, известная также как QNAP - червь , распространялась в основном через съемные носители вроде USB. Однако теперь операторы стали экспериментировать с другими методами.

Raspberry Robin, впервые обнаруженная в сентябре 2021 года, со временем стала использоваться для загрузки множества программ, таких как SocGholish, Cobalt Strike, IcedID, BumbleBee и TrueBot. Более того, Raspberry Robin может применяться в качестве предварительного этапа для развертывания вымогательского ПО.

Новая кампания использует WSF-файлы, которые размещаются на множестве разных доменов и поддоменов. Пока неясно, каким способом злоумышленники заманивают пользователей на эти ссылки, но, вероятно, здесь помогают спам и мошенническая реклама.

Хорошо обфусцированный WSF скачивает вредоносную нагрузку с удаленного сервера. Перед этим он проводит ряд проверок, чтобы избежать обнаружения.

Вредонос конфигурирует Microsoft Defender Antivirus таким образом, чтобы весь основной диск был добавлен в список исключений. Кроме того, он прекращает выполнение, если обнаруживает, что номер сборки операционной системы Windows ниже 17063 (выпущенной в декабре 2017 года), а также если в списке запущенных процессов присутствуют приложения Avast, Avira, Bitdefender, Check Point, ESET и Kaspersky.

«Сами скрипты в настоящее время не классифицируются как вредоносные ни одним из сканеров на VirusTotal, что демонстрирует изворотливость вредоносного ПО и высокий риск заражения Raspberry Robin», — отметил эксперт HP.
 
Источник новости
www.securitylab.ru

Похожие темы