Οι ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν μία νέα καμπάνια Raspberry Robin, που διαδίδει το κακόβουλο λογισμικό μέσω αρχείων σεναρίου των Windows (WSF) από τον Μάρτιο του 2024.

Δείτε επίσης: Το Raspberry Robin malware εξελίσσεται με one-day exploits

Το Raspberry Robin, που ονομάζεται επίσης QNAP worm, εντοπίστηκε για πρώτη φορά τον Σεπτέμβριο του 2021 και έκτοτε έχει εξελιχθεί σε πρόγραμμα λήψης για διάφορα άλλα ωφέλιμα φορτία τα τελευταία χρόνια, όπως SocGholish, Cobalt Strike, IcedID, BumbleBee και TrueBot, και επίσης χρησιμεύει ως πρόδρομος για ransomware.

Ενώ το κακόβουλο λογισμικό αρχικά διανεμήθηκε μέσω συσκευών USB που περιείχαν αρχεία LNK που ανακτούσαν το ωφέλιμο φορτίο από μια παραβιασμένη συσκευή QNAP, έκτοτε υιοθέτησε άλλες μεθόδους, όπως το social engineering και το malvertising.

Αποδίδεται σε ένα αναδυόμενο σύμπλεγμα απειλών που παρακολουθείται από τη Microsoft ως Storm-0856, το οποίο έχει συνδέσμους με το ευρύτερο οικοσύστημα εγκλήματος στον κυβερνοχώρο που περιλαμβάνει ομάδες όπως η Evil Corp, η Silence και η TA505.

Το πιο πρόσφατο διάνυσμα διανομής του Raspberry Robin, συνεπάγεται τη χρήση αρχείων WSF που προσφέρονται για λήψη μέσω διαφόρων τομέων και υποτομέων.

Δείτε ακόμα: Το Raspberry Robin malware γίνεται πιο ισχυρό

Προς το παρόν δεν είναι σαφές πώς οι εισβολείς κατευθύνουν τα θύματα σε αυτές τις διευθύνσεις URL, αν και υπάρχει η υποψία ότι θα μπορούσε να είναι είτε μέσω ανεπιθύμητης αλληλογραφίας είτε μέσω καμπανιών κακόβουλης διαφήμισης.

Το πολύ ασαφές αρχείο WSF λειτουργεί ως πρόγραμμα λήψης για την ανάκτηση του κύριου ωφέλιμου φορτίου DLL από έναν απομακρυσμένο διακομιστή, χρησιμοποιώντας την εντολή curl, αλλά όχι πριν από μια σειρά αξιολογήσεων anti-analysis και anti-virtual machine evaluations, για να προσδιοριστεί εάν εκτελείται σε εικονικό περιβάλλον.

Έχει επίσης σχεδιαστεί για να τερματίζει την εκτέλεση εάν ο αριθμός έκδοσης του λειτουργικού συστήματος Windows είναι μικρότερος από 17063 (το οποίο κυκλοφόρησε τον Δεκέμβριο του 2017) και εάν η λίστα των διαδικασιών που εκτελούνται περιλαμβάνει διαδικασίες προστασίας από ιούς που σχετίζονται με Avast, Avira, Bitdefender, Check Point, ESET και Kaspersky.

Επιπλέον, διαμορφώνει τους κανόνες εξαίρεσης του Microsoft Defender Antivirus σε μια προσπάθεια να παρακάμψει τον εντοπισμό, προσθέτοντας ολόκληρη την κύρια μονάδα δίσκου στη λίστα εξαιρέσεων και αποτρέποντας τη σάρωσή της.

Δείτε επίσης: Προσοχή! Το Bumblebee malware επανεμφανίστηκε!

Ποιες είναι οι μέθοδοι προστασίας από malware;

Η πρώτη και πιο σημαντική μέθοδος προστασίας από malware, όπως το Raspberry Robin που εξαπλώνεται μέσω αρχείων WSF, είναι η χρήση αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό πρέπει να περιλαμβάνει λειτουργίες antivirus, anti-malware και anti-spyware. Επιπλέον, είναι σημαντικό να κρατάτε το λειτουργικό σας σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές. Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά malware εξαπλώνονται μέσω φαινομενικά ακίνδυνων συνδέσμων ή συνημμένων. Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι άλλη μία σημαντική μέθοδος προστασίας.

Πηγή: thehackernews