Исследователи кибербезопасности обнаружили новую волну кампании Raspberry Robin, которая с марта 2024 года распространяет вредоносное ПО через файлы вредоносных сценариев Windows (WSFS).
"Исторически было известно, что Raspberry Robin распространялся через съемные носители, такие как USB-накопители, но со временем его распространители экспериментировали с другими первоначальными переносчиками заражения", - сказал исследователь безопасности HP Wolf Патрик Шлепфер в отчете, опубликованном в Hacker News.
Raspberry Robin, также называемый червем QNAP, был впервые обнаружен в сентябре 2021 года, который с тех пор превратился в загрузчик для различных других полезных программ в последние годы, таких как SocGholish, Cobalt Strike, IcedID, BumbleBee и TrueBot, а также служит предшественником программ-вымогателей.
Хотя изначально вредоносное ПО распространялось с помощью USB-устройств, содержащих файлы LNK, которые извлекали полезную нагрузку со скомпрометированного устройства QNAP, с тех пор оно использовало другие методы, такие как социальная инженерия и вредоносная реклама.
Это связано с появляющимся кластером угроз, отслеживаемым Microsoft как Storm-0856, который связан с более широкой экосистемой киберпреступности, включающей такие группы, как Evil Corp, Silence и TA505.
Последний вектор распространения предполагает использование файлов WSF, которые предлагаются для загрузки через различные домены и поддомены.
В настоящее время неясно, как злоумышленники направляют жертв по этим URL-адресам, хотя есть подозрение, что это может быть либо с помощью спама, либо с помощью вредоносных рекламных кампаний.
Сильно запутанный файл WSF функционирует как загрузчик для извлечения основной полезной нагрузки DLL с удаленного сервера с помощью команды curl, но не раньше, чем будет проведена серия антианализов и оценок виртуальной машины, чтобы определить, выполняется ли он в виртуализированной среде.
Она также предназначена для прекращения выполнения, если номер сборки операционной системы Windows ниже 17063 (который был выпущен в декабре 2017 года) и если в список запущенных процессов входят антивирусные процессы, связанные с Avast, Avira, Bitdefender, Check Point, ESET и Kaspersky.
Более того, она настраивает правила исключения антивируса Microsoft Defender, чтобы обойти обнаружение, добавляя весь основной диск в список исключений и предотвращая его сканирование.
"Сами скрипты в настоящее время не классифицируются как вредоносные ни одним антивирусным сканером VirusTotal, что демонстрирует скрытность вредоносного ПО и риск того, что оно вызовет серьезное заражение Raspberry Robin", - заявили в HP.
"Загрузчик WSF сильно запутан и использует множество методов ан-анализа, позволяющих вредоносному ПО уклоняться от обнаружения и замедлять анализ".
"Исторически было известно, что Raspberry Robin распространялся через съемные носители, такие как USB-накопители, но со временем его распространители экспериментировали с другими первоначальными переносчиками заражения", - сказал исследователь безопасности HP Wolf Патрик Шлепфер в отчете, опубликованном в Hacker News.
Raspberry Robin, также называемый червем QNAP, был впервые обнаружен в сентябре 2021 года, который с тех пор превратился в загрузчик для различных других полезных программ в последние годы, таких как SocGholish, Cobalt Strike, IcedID, BumbleBee и TrueBot, а также служит предшественником программ-вымогателей.
Хотя изначально вредоносное ПО распространялось с помощью USB-устройств, содержащих файлы LNK, которые извлекали полезную нагрузку со скомпрометированного устройства QNAP, с тех пор оно использовало другие методы, такие как социальная инженерия и вредоносная реклама.
Это связано с появляющимся кластером угроз, отслеживаемым Microsoft как Storm-0856, который связан с более широкой экосистемой киберпреступности, включающей такие группы, как Evil Corp, Silence и TA505.
Последний вектор распространения предполагает использование файлов WSF, которые предлагаются для загрузки через различные домены и поддомены.
В настоящее время неясно, как злоумышленники направляют жертв по этим URL-адресам, хотя есть подозрение, что это может быть либо с помощью спама, либо с помощью вредоносных рекламных кампаний.
Сильно запутанный файл WSF функционирует как загрузчик для извлечения основной полезной нагрузки DLL с удаленного сервера с помощью команды curl, но не раньше, чем будет проведена серия антианализов и оценок виртуальной машины, чтобы определить, выполняется ли он в виртуализированной среде.
Она также предназначена для прекращения выполнения, если номер сборки операционной системы Windows ниже 17063 (который был выпущен в декабре 2017 года) и если в список запущенных процессов входят антивирусные процессы, связанные с Avast, Avira, Bitdefender, Check Point, ESET и Kaspersky.
Более того, она настраивает правила исключения антивируса Microsoft Defender, чтобы обойти обнаружение, добавляя весь основной диск в список исключений и предотвращая его сканирование.
"Сами скрипты в настоящее время не классифицируются как вредоносные ни одним антивирусным сканером VirusTotal, что демонстрирует скрытность вредоносного ПО и риск того, что оно вызовет серьезное заражение Raspberry Robin", - заявили в HP.
"Загрузчик WSF сильно запутан и использует множество методов ан-анализа, позволяющих вредоносному ПО уклоняться от обнаружения и замедлять анализ".
