Siber güvenlik araştırmacıları, kötü amaçlı Windows Komut Dosyaları aracılığıyla kötü amaçlı yazılım yayan yeni bir Raspberry Robin kampanya dalgası keşfettiler (WSF’ler) Mart 2024’ten beri.
HP Wolf Güvenlik araştırmacısı Patrick Schläpfer, “Tarihsel olarak Raspberry Robin’in USB sürücüler gibi çıkarılabilir medyalar yoluyla yayıldığı biliniyordu, ancak zamanla distribütörleri diğer başlangıç enfeksiyon vektörlerini denedi.” söz konusu The Hacker News ile paylaşılan bir raporda.
QNAP solucanı olarak da adlandırılan Raspberry Robin, ilk görüldü Eylül 2021’de bu yazılım, son yıllarda SocGholish, Cobalt Strike, IcedID, BumbleBee ve TrueBot gibi çeşitli diğer yükler için indiriciye dönüştü ve aynı zamanda fidye yazılımının öncüsü olarak da hizmet etti.
Kötü amaçlı yazılım başlangıçta, güvenliği ihlal edilmiş bir QNAP cihazından yükü alan LNK dosyalarını içeren USB cihazları aracılığıyla dağıtılırken, o zamandan beri sosyal mühendislik ve kötü amaçlı reklamcılık gibi diğer yöntemleri benimsedi.
Microsoft tarafından Storm-0856 olarak takip edilen ve Evil Corp, Silence ve TA505 gibi grupları içeren daha geniş siber suç ekosistemiyle bağlantıları olan yeni ortaya çıkan bir tehdit kümesine atfediliyor.
En son dağıtım vektörü, çeşitli alanlar ve alt alanlar aracılığıyla indirilmek üzere sunulan WSF dosyalarının kullanımını gerektirir.
Saldırganların kurbanları bu URL’lere nasıl yönlendirdikleri şu anda net değil, ancak bunun spam veya kötü amaçlı reklam kampanyaları yoluyla olabileceğinden şüpheleniliyor.
Oldukça karmaşık hale getirilmiş WSF dosyası, curl komutunu kullanarak uzak bir sunucudan ana DLL yükünü almak için bir indirici işlevi görür, ancak bu, bir dizi anti-analiz ve anti-sanal makine değerlendirmesi gerçekleştirilmeden önce, bunun bir sunucuda çalıştırılıp çalıştırılmadığını belirlemek için gerçekleştirilmez. sanallaştırılmış ortam.
Ayrıca Windows işletim sisteminin yapı numarası 17063’ten düşükse (ki bu daha önceydi) yürütmeyi sonlandırmak için tasarlanmıştır. piyasaya sürülmüş Aralık 2017’de) ve çalışan işlemler listesinde Avast, Avira, Bitdefender, Check Point, ESET ve Kaspersky ile ilişkili antivirüs işlemleri bulunup bulunmadığı.
Dahası, ana sürücünün tamamını hariç tutma listesine ekleyerek ve taranmasını engelleyerek tespitten kaçınmak amacıyla Microsoft Defender Antivirus hariç tutma kurallarını yapılandırır.
HP, “Komut dosyalarının kendisi şu anda VirusTotal’daki herhangi bir virüs tarayıcısı tarafından kötü amaçlı olarak sınıflandırılmıyor, bu da kötü amaçlı yazılımın kaçamaklığını ve Raspberry Robin ile ciddi bir enfeksiyona neden olma riskini gösteriyor” dedi.
“WSF indiricisi büyük ölçüde gizlenmiş durumda ve kötü amaçlı yazılımın tespitten kaçmasına ve analizi yavaşlatmasına olanak tanıyan birçok analiz tekniği kullanıyor.”