Los investigadores de ciberseguridad han descubierto una nueva campaña de propagación de malware conocida como Raspberry Robin. Utiliza archivos de Script de Windows (WSF) maliciosos para distribuir cargas maliciosas como SocGholish, Cobalt Strike, IcedID, BumbleBee, TrueBot, y para poner en peligro la seguridad de la información de los usuarios desafortunados. Desde su detección inicial en septiembre de 2021, esta campaña ha evolucionado para adoptar nuevos vectores de infección, incluyendo la ingeniería social y la publicidad maliciosa.
«A través de esta campaña, los atacantes buscan inyectar malware en los equipos de los usuarios mediante el uso de archivos WSF que ofrecen para descargar desde varios sitios web maliciosos», explica el investigador de HP Wolf Security, Patrick Schläpfer. A pesar de que aún no está claro cómo los atacantes llegan a sus víctimas, es posible que lo hagan a través de malvertising o spam.
El archivo WSF descargado por los usuarios funciona como un descargador para recuperar la carga principal de un servidor remoto usando el comando curl, pero no antes de que se realicen evaluaciones anti-análisis y anti-máquina virtual para determinar si se está ejecutando en un entorno virtualizado. Además, está diseñado para finalizar la ejecución si el número de compilación del sistema operativo Windows es inferior a 17063 y si la lista de procesos en ejecución incluye procesos antivirus asociados con varias marcas populares como Avast, Avira, Bitdefender, Check Point, ESET y Kaspersky.
El script en sí no se clasifica actualmente como malicioso por ningún escáner antivirus en VirusTotal, lo que pone de manifiesto la capacidad evasiva de Raspberry Robin. El descargador WSF está fuertemente ofuscado y utiliza muchas técnicas anti-análisis que permiten que el malware evite la detección y ralentice el análisis. Las técnicas evasivas utilizadas por Raspberry Robin son un peligro serio para la seguridad de la información de los usuarios afectados.
Los informes sugieren que Microsoft ha estado rastreando a un conjunto de amenazas emergentes con vínculos con el cibercrimen de Evil Corp, Silence y TA505. Los expertos en seguridad informática y los usuarios deben estar en alerta para evitar ser víctimas de esta peligrosa campaña de malware.
Vía The Hacker News