Operadores de ameaças que distribuem o Raspberry Robin agora estão usando arquivos de script do Windows (WSF) para espalhar o worm junto com outros métodos, como unidades USB. A equipe da HP Threat Research identificou novas campanhas iniciadas em março, nas quais o Raspberry Robin foi espalhado por meio de arquivos de script do Windows ofuscados, usando técnicas antianálise.
O Raspberry Robin é um worm do Windows descoberto pela primeira vez em 2021. Inicialmente, os operadores da ameaça que dependiam do worm o espalharam para atingir hosts usando mídia removível, como unidades USB. Ao longo dos anos, eles passaram a usar outros vetores de ataque, incluindo arquivos compactados (.rar, .zip) e anúncios maliciosos, para entregar o worm.
Em março, os hackers começaram a espalhá-lo por meio dos arquivos de script do Windows, um tipo de arquivo geralmente usado por administradores e software legítimo para automatizar tarefas no Windows.
Os pesquisadores da HP Threat Research compartilharam suas descobertas em um relatório publicado na quarta-feira passada, 10. O formato de arquivo .wsf oferece suporte a linguagens de script, como JScript e VBScript, que são interpretadas pelo componente Windows Script Host integrado ao sistema operacional Windows. Os arquivos de script do Windows são oferecidos para download por meio de vários domínios e subdomínios maliciosos controlados pelos invasores.
Veja isso
Backdoor supera ransomware como principal ação de hackers
Três carregadores de malware respondem por 80% dos ataques
Embora não esteja claro como os operadores da ameaça atraem os usuários para URLs maliciosos, os pesquisadores da HP acreditam que isso pode ocorrer por meio de spam ou campanhas de malvertising. O arquivo de script atua como um downloader e usa várias técnicas de antianálise e detecção de máquina virtual (VM). A carga final só é baixada e executada quando todas essas etapas de avaliação indicam que o malware está sendo executado em um dispositivo real, e não em uma sandbox.
O malware também verifica os seguintes fornecedores de software de segurança: Kaspersky, ESET, Avast, Avira, Check Point e Bitdefender.
Os pesquisadores avaliaram que, no momento da análise, nenhum antivírus do VirusTotal classificou esses arquivos como maliciosos, demonstrando a evasão do malware.
Para ter acesso ao relatório completo (em inglês) da equipe de pesquisa de ameaças da HP Threat Research clique aqui.
