Червея Raspberry Robin еволюира, за да надхитри всяка антивирусна
Изследователи по киберсигурност са разкрили нова огромна офанзива, употребяваща зловредния програмен продукт Raspberry Robin. От март тази година насам хакери го популяризират интензивно благодарение на модифицирани Windows Script Files (WSF) файлове.
Според Патрик Шлаепфер, откривател в региона на сигурността на HP Wolf, Raspberry Robin, прочут също като червея QNAP преди се е разпространявал най-вече посредством сменяеми носители като USB флашки. Сега обаче операторите са почнали да опитват с други способи.
Raspberry Robin е открит за първи път през септември 2021 година. С течение на времето той е употребен в голям брой зловредни софтуери като SocGholish, Cobalt Strike, IcedID, BumbleBee и TrueBot. Освен това Raspberry Robin може да се употребява като прелиминарен стадий за разрастване на рансъмуер.
Новата акция употребява WSF файлове, които са хоствани на доста разнообразни домейни и поддомейни. Все още не е ясно по какъв начин хакерите примамват потребителите към тези връзки, само че евентуално за това оказват помощ спамът и лъжливите реклами.
Добре замаскираният WSF файл изтегля злотворен потребен товар от далечен сървър. Преди да направи това, той прави поредност от инспекции, с цел да избегне разкриване.
Зловредният програмен продукт конфигурира Microsoft Defender Antivirus по този начин, че целият главен диск да бъде прибавен в листата за изключване. Той също по този начин стопира осъществяването, в случай че откри, че номерът на компилацията на операционната система Windows е по-малък от 17063 (пусната през декември 2017 гoдина) и в случай че описът на изпълняваните процеси включва приложения на Avast, Avira, Bitdefender, Check Point, ESET и Kaspersky.
„ Самите скриптове понастоящем не са класифицирани като злонамерени от нито един от скенерите на VirusTotal, което демонстрира съмнителния темперамент на зловредния програмен продукт и високия риск от заразяване на Raspberry Robin. “
отбелязва специалистът на HP
