Regresa Raspberry Robin: Nueva Campaña de Malware que se Propaga a Través de Archivos WSF

Luis Quiles
Luis Quiles
cyberattack
Ciber crimen

Los investigadores en ciberseguridad han descubierto una nueva ola de la campaña Raspberry Robin que propaga el malware a través de archivos de scripts de Windows maliciosos (WSF) desde marzo de 2024.

«Históricamente, Raspberry Robin era conocido por propagarse a través de medios extraíbles como unidades USB, pero con el tiempo sus distribuidores han experimentado con otros vectores de infección inicial», dijo el investigador de seguridad de HP Wolf, Patrick Schläpfer, en un informe compartido con The Hacker News.

Raspberry Robin, también conocido como gusano QNAP, fue avistado por primera vez en septiembre de 2021 y desde entonces ha evolucionado para descargar varios otros cargadores en los últimos años, tales como SocGholish, Cobalt Strike, IcedID, BumbleBee y TrueBot, y también sirve como precursor de ransomware.

Mientras que inicialmente el malware se distribuía mediante dispositivos USB que contenían archivos LNK que recuperaban la carga útil de un dispositivo QNAP comprometido, desde entonces ha adoptado otros métodos como la ingeniería social y la publicidad maliciosa.

Se atribuye a un conjunto de amenazas emergentes rastreadas por Microsoft como Storm-0856, que tiene vínculos con el ecosistema del cibercrimen más amplio que comprende grupos como Evil Corp, Silence y TA505.

El último vector de distribución implica el uso de archivos WSF que se ofrecen para su descarga a través de varios dominios y subdominios.

Actualmente no está claro cómo los atacantes están dirigiendo a las víctimas a estos URLs, aunque se sospecha que podría ser a través de campañas de spam o malvertising.

El archivo WSF, altamente ofuscado, funciona como un descargador para recuperar la carga útil principal desde un servidor remoto usando el comando curl, pero no antes de realizar una serie de evaluaciones anti-análisis y anti-máquina virtual para determinar si se está ejecutando en un entorno virtualizado.

También está diseñado para terminar la ejecución si el número de compilación del sistema operativo Windows es inferior a 17063 (lanzado en diciembre de 2017) y si la lista de procesos en ejecución incluye procesos antivirus asociados con Avast, Avira, Bitdefender, Check Point, ESET y Kaspersky.

server

Además, configura reglas de exclusión de Microsoft Defender Antivirus en un intento de eludir la detección al agregar la unidad principal completa a la lista de exclusiones y evitar que sea escaneada.

«Los propios scripts actualmente no son clasificados como maliciosos por ningún escáner de antivirus en VirusTotal, lo que demuestra la evasividad del malware y el riesgo de que cause una infección grave con Raspberry Robin», dijo HP.

«El descargador WSF está altamente ofuscado y utiliza muchas técnicas de anti-análisis que permiten al malware evadir la detección y ralentizar el análisis.»

Share this article :

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.