Los investigadores han identificado similitudes funcionales entre un componente malicioso utilizado en la cadena de infección de Raspberry Robin y un cargador de malware Dridex, fortaleciendo aún más las conexiones de los operadores con el grupo Evil Corp con sede en Rusia.
Los hallazgos sugieren que «Evil Corp probablemente esté utilizando la infraestructura de Raspberry Robin para llevar a cabo sus ataques», dijo Kevin Henson, investigador de IBM Security X-Force. dijo en un análisis del jueves.
Raspberry Robin (también conocido como QNAP Worm), descubierto por primera vez por la empresa de seguridad cibernética Red Canary en septiembre de 2021, ha permanecido como un misterio durante casi un año, en parte debido a la notable falta de actividades posteriores a la explotación en la naturaleza.
Eso cambió en julio de 2022 cuando Microsoft reveló que observó que el malware FakeUpdates (también conocido como SocGholish) se entregaba a través de infecciones existentes de Raspberry Robin, con posibles conexiones identificadas entre DEV-0206 y DEV-0243 (también conocido como Evil Corp).
Se sabe que el malware se entrega desde un sistema comprometido a través de dispositivos USB infectados que contienen un archivo .LNK malicioso a otros dispositivos en la red de destino. Los archivos de acceso directo de Windows están diseñados para recuperar una DLL maliciosa de un servidor remoto.
«Los cargadores de Raspberry Robin son archivos DLL que decodifican y ejecutan un cargador intermedio», dijo Henson. «El cargador intermedio realiza la detección de ganchos como una técnica antianálisis, decodifica sus cadenas en tiempo de ejecución y luego decodifica una DLL altamente ofuscada cuyo propósito no ha sido determinado».
Además, el análisis comparativo de IBM Security X-Force de un cargador Raspberry Robin de 32 bits y un cargador Dridex de 64 bits descubrió superposiciones en funcionalidad y estructura, con ambos componentes incorporando un código antianálisis similar y decodificando la carga útil final de manera análoga.
Dridex (también conocido como Bugat o Cridex) es el obra of Evil Corp y se refiere a un troyano bancario con capacidades para robar información, implementar malware adicional como ransomware y esclavizar las máquinas Windows comprometidas en una red de bots.
Para mitigar las infecciones de Raspberry Robin, se recomienda que las organizaciones supervisen las conexiones de dispositivos USB y deshabiliten el función de ejecución automática en la configuración del sistema operativo Windows.