12.04.2024 | От USB до WSF: Raspberry Robin эволюционировал, чтобы обхитрить любой антивирус |
Исследователи обнаружили новую масштабную атаку с использованием вредоносной программы Raspberry Robin . С марта 2024 года злоумышленники активно распространяют ее при помощи модифицированных файлов Windows Script Files (WSF). Как отмечает исследователь HP Wolf Security , Патрик Шлепфер, ранее Raspberry Robin, известная также как QNAP - червь , распространялась в основном через съемные носители вроде USB. Однако теперь операторы стали экспериментировать с другими методами. Raspberry Robin, впервые обнаруженная в сентябре 2021 года, со временем стала использоваться для загрузки множества программ, таких как SocGholish, Cobalt Strike, IcedID, BumbleBee и TrueBot. Более того, Raspberry Robin может применяться в качестве предварительного этапа для развертывания вымогательского ПО. Новая кампания использует WSF-файлы, которые размещаются на множестве разных доменов и поддоменов. Пока неясно, каким способом злоумышленники заманивают пользователей на эти ссылки, но, вероятно, здесь помогают спам и мошенническая реклама. Хорошо обфусцированный WSF скачивает вредоносную нагрузку с удаленного сервера. Перед этим он проводит ряд проверок, чтобы избежать обнаружения. Вредонос конфигурирует Microsoft Defender Antivirus таким образом, чтобы весь основной диск был добавлен в список исключений. Кроме того, он прекращает выполнение, если обнаруживает, что номер сборки операционной системы Windows ниже 17063 (выпущенной в декабре 2017 года), а также если в списке запущенных процессов присутствуют приложения Avast, Avira, Bitdefender, Check Point, ESET и Kaspersky. «Сами скрипты в настоящее время не классифицируются как вредоносные ни одним из сканеров на VirusTotal, что демонстрирует изворотливость вредоносного ПО и высокий риск заражения Raspberry Robin», — отметил эксперт HP. |
Проверить безопасность сайта