A Raspberry Robin saga folytatódik

A legutóbbi, 2024 áprilisában azonosított Raspberry Robin malware kampány a Windows Script Files (WSF) kihasználásával terjeszt rosszindulatú szoftvereket. Ez változást jelent a korábbi terjedési módszereivel szemben, amelyek elsősorban USB-meghajtókat használtak. Patrick Schläpfer, a HP Wolf Security munkatársa szerint a QNAP féregként is ismert kártevő eredetileg 2021 szeptemberében fedezték fel, és azóta különböző hasznos terhek letöltőjévé vált, beleértve többféle kártevőt, például a SocGholish, a Cobalt Strike és a BumbleBee típusokat, valamint zsarolóvírus-támadások előfutáraként is funkcionál.

A most felfedezett terjesztési módszer rosszindulatú WSF-fájlokat tartalmaz, amelyeket különböző megtévesztő oldalakról töltenek le, esetleg spam vagy rosszindulatú reklámkampányok révén. Ezeket a fájlokat elrejtik, hogy megkerüljék a felderítő eszközöket, és kifinomult ellenőrzéseket tartalmaznak annak biztosítására, hogy ne virtuális környezetben futtassák őket, amelyet általában rosszindulatú programok elemzéséhez használnak. A kártevő szelektíven megszakítja a folyamatát bizonyos vírusirtó folyamatokkal rendelkező rendszereken és a Windows régebbi verzióit futtató rendszereken (a 17063-as építési számot megelőzően). Emellett manipulálja a Microsoft Defender vírusirtó beállításait, hogy elkerülje a felismerést, ami még inkább kiemeli a kikerülő képességeit.

A Raspberry Robin kitérő jellegét hangsúlyozza, hogy képes megkerülni a jelenlegi víruskereső algoritmusokat, és a rosszindulatú szkripteket nem jelölik veszélyesnek az olyan platformok, mint a VirusTotal. Ez a fejlemény jelentős kockázatot jelent, mivel rávilágít a rosszindulatú szoftver azon lehetőségére, hogy széles körű fertőzéseket okozhat, miközben a hagyományos kiberbiztonsági védelem radarja alatt marad.

(forrás), (forrás), (forrás), (forrás), (forrás), (forrás), (forrás), (forrás), (forrás)