\u00c9l petirrojo frambuesa<\/strong> El gusano se ha utilizado en ataques contra telecomunicaciones y sistemas de oficinas gubernamentales en Am\u00e9rica Latina, Australia y Europa desde al menos septiembre de 2022.<\/p>\n “La carga \u00fatil principal en s\u00ed est\u00e1 repleta de m\u00e1s de 10 capas para la ofuscaci\u00f3n y es capaz de entregar una carga \u00fatil falsa una vez que detecta herramientas de an\u00e1lisis de seguridad y sandboxing”, dijo Christopher So, investigador de Trend Micro. dijo<\/a> en un an\u00e1lisis t\u00e9cnico publicado el martes.<\/p>\n La mayor\u00eda de las infecciones se han detectado en Argentina, seguida de Australia, M\u00e9xico, Croacia, Italia, Brasil, Francia, India y Colombia.<\/p>\n Raspberry Robin, atribuido a un grupo de actividad rastreado por Microsoft como DEV-0856, est\u00e1 siendo cada vez m\u00e1s aprovechado por m\u00faltiples actores de amenazas como mecanismo de acceso inicial para entregar cargas \u00fatiles como LockBit y Clop ransomware.<\/p>\n El malware es conocido por depender de unidades USB infectadas como vector de distribuci\u00f3n para descargar un archivo instalador MSI malicioso que despliega la carga \u00fatil principal responsable de facilitar la explotaci\u00f3n posterior.<\/p>\n Un an\u00e1lisis m\u00e1s detallado de Raspberry Robin revela el uso de una fuerte ofuscaci\u00f3n para evitar el an\u00e1lisis, con el malware “compuesto por dos cargas \u00fatiles incrustadas en un cargador de carga \u00fatil empaquetado seis veces”.<\/p>\n El cargador de carga \u00fatil, por su parte, est\u00e1 orquestado para cargar la carga \u00fatil de se\u00f1uelo, un adware denominado BrowserAssistant, para frustrar los esfuerzos de detecci\u00f3n.<\/p>\n Si no se observa el sandboxing ni el an\u00e1lisis, la carga \u00fatil leg\u00edtima se instala y procede a conectarse a una direcci\u00f3n .onion codificada utilizando un cliente TOR personalizado incrustado en \u00e9l para esperar m\u00e1s comandos.<\/p>\n El proceso del cliente TOR se hace pasar por procesos leg\u00edtimos de Windows como dllhost.exe, regsvr32.exe y rundll32.exe, lo que una vez m\u00e1s subraya los considerables esfuerzos realizados por el actor de amenazas para pasar desapercibido.<\/p>\n Adem\u00e1s, la rutina real del malware se ejecuta en Sesi\u00f3n 0<\/a>a sesi\u00f3n especializada de Windows<\/a> reservado para servicios y otras aplicaciones de usuario no interactivas para mitigar los riesgos de seguridad como destrozar ataques<\/a>.<\/p>\n Trend Micro dijo que encontr\u00f3 similitudes en una escalada de privilegios y una t\u00e9cnica anti-depuraci\u00f3n utilizada por Raspberry Robin y el ransomware LockBit, lo que sugiere una posible conexi\u00f3n entre los dos actores criminales.<\/p>\n “El grupo detr\u00e1s de Raspberry Robin es el fabricante de algunas de las herramientas que tambi\u00e9n usa LockBit”, teoriz\u00f3 la compa\u00f1\u00eda, y agreg\u00f3 que “aprovech\u00f3 los servicios del afiliado responsable de las t\u00e9cnicas utilizadas por LockBit”.<\/p>\n Dicho esto, las intrusiones parecen ser una operaci\u00f3n de reconocimiento, ya que no se devuelven datos del dominio TOR, lo que sugiere que el grupo detr\u00e1s del malware est\u00e1 “probando las aguas para ver hasta d\u00f3nde se pueden propagar sus implementaciones”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/Google-lanza-la-mayor-base-de-datos-distribuida-de-vulnerabilidades.png\")
<\/a><\/center><\/div>\n![\"petirrojo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/El-gusano-Raspberry-Robin-ataca-de-nuevo-y-se-dirige.png\" "\\"petirrojo")
<\/div>\n