Raspberry Robin trở lại: Chiến dịch phần mềm độc hại mới lây lan qua các tệp WSF

 

 Các nhà nghiên cứu an ninh mạng đã phát hiện ra một làn sóng chiến dịch Raspberry Robin mới truyền bá phần mềm độc hại thông qua các tệp tập lệnh Windows độc hại (WSF) kể từ tháng 3/2024.

"Trong lịch sử, Raspberry Robin được biết là lây lan qua các phương tiện di động như ổ USB, nhưng theo thời gian, các nhà phân phối của nó đã thử nghiệm với các vectơ lây nhiễm ban đầu khác", nhà nghiên cứu Patrick Schläpfer của HP Wolf Security cho biết trong một báo cáo được chia sẻ với The Hacker News.

Raspberry Robin, còn được gọi là sâu QNAP, lần đầu tiên được phát hiện vào tháng 9 năm 2021, kể từ đó đã phát triển thành trình tải xuống cho nhiều tải trọng khác trong những năm gần đây, chẳng hạn như SocGholish, Cobalt Strike, IcedID, BumbleBee và TrueBot, đồng thời đóng vai trò là tiền thân của ransomware.

Mặc dù phần mềm độc hại ban đầu được phân phối bằng các thiết bị USB có chứa các tệp LNK truy xuất tải trọng từ thiết bị QNAP bị xâm nhập, nhưng sau đó nó đã áp dụng các phương pháp khác như kỹ thuật xã hội và malvertising.

Nó được cho là do một cụm mối đe dọa mới nổi được Microsoft theo dõi là Storm-0856, có liên kết với hệ sinh thái tội phạm mạng rộng lớn hơn bao gồm các nhóm như Evil Corp, Silence và TA505.

Vectơ phân phối mới nhất đòi hỏi phải sử dụng các tệp WSF được cung cấp để tải xuống thông qua các miền và tên miền phụ khác nhau.

Hiện tại vẫn chưa rõ những kẻ tấn công đang hướng nạn nhân đến các URL này như thế nào, mặc dù người ta nghi ngờ rằng nó có thể thông qua spam hoặc các chiến dịch độc hại.

Tệp WSF bị xáo trộn nặng nề hoạt động như một trình tải xuống để truy xuất tải trọng DLL chính từ máy chủ từ xa bằng lệnh curl, nhưng không phải trước khi một loạt các đánh giá máy chống phân tích và chống ảo được thực hiện để xác định xem nó có đang được chạy trong môi trường ảo hóa hay không.

Nó cũng được thiết kế để chấm dứt thực thi nếu số bản dựng của hệ điều hành Windows thấp hơn 17063 (được phát hành vào tháng 12 năm 2017) và nếu danh sách các quy trình đang chạy bao gồm các quy trình chống vi-rút được liên kết với Avast, Avira, Bitdefender, Check Point, ESET và Kaspersky.

Hơn nữa, nó cấu hình các quy tắc loại trừ Microsoft Defender Antivirus trong nỗ lực tránh phát hiện bằng cách thêm toàn bộ ổ đĩa chính vào danh sách loại trừ và ngăn không cho quét.

"Bản thân các tập lệnh hiện không được phân loại là độc hại bởi bất kỳ trình quét virus nào trên VirusTotal, thể hiện khả năng lẩn tránh của phần mềm độc hại và nguy cơ nó gây nhiễm trùng nghiêm trọng với Raspberry Robin", HP cho biết.

"Trình tải xuống WSF bị xáo trộn rất nhiều và sử dụng nhiều kỹ thuật phân tích an cho phép phần mềm độc hại trốn tránh sự phát hiện và làm chậm quá trình phân tích."

Mới hơn Cũ hơn