dijo<\/a> en un nuevo informe publicado el lunes.<\/p>\nLas intrusiones, observadas contra organizaciones de habla hispana y portuguesa, se destacan por recopilar m\u00e1s datos de la m\u00e1quina de la v\u00edctima que los documentados anteriormente, y el malware ahora exhibe t\u00e9cnicas sofisticadas para resistir el an\u00e1lisis.<\/p>\n
Varios actores de amenazas est\u00e1n utilizando Raspberry Robin, tambi\u00e9n llamado gusano QNAP, como un medio para afianzarse en las redes de destino. Difundido a trav\u00e9s de unidades USB infectadas y otros m\u00e9todos, el marco se ha utilizado recientemente en ataques dirigidos a los sectores de telecomunicaciones y gobierno.<\/p>\n
Microsoft est\u00e1 rastreando a los operadores de Raspberry Robin bajo el alias DEV-0856.<\/p>\n
La investigaci\u00f3n forense de Security Joes sobre uno de esos ataques ha revelado el uso de un archivo 7-Zip, que se descarga del navegador de la v\u00edctima a trav\u00e9s de la ingenier\u00eda social y contiene un archivo de instalaci\u00f3n MSI dise\u00f1ado para descargar varios m\u00f3dulos.<\/p>\n
![\"Gusano](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1672741281_773_El-gusano-Raspberry-Robin-evoluciona-para-atacar-los-sectores-financiero.png\" "\\"Gusano")
<\/div>\n
En otro caso, se dice que la v\u00edctima descarg\u00f3 un archivo ZIP a trav\u00e9s de un anuncio fraudulento alojado en un dominio que se sabe que distribuye adware.<\/p>\n
El archivo de almacenamiento, almacenado en un servidor Discord, contiene un c\u00f3digo JavaScript codificado que, al ejecutarse, descarga un descargador que est\u00e1 protegido con numerosas capas de ofuscaci\u00f3n y encriptaci\u00f3n para evadir la detecci\u00f3n.<\/p>\n
El descargador de shellcode est\u00e1 dise\u00f1ado principalmente para obtener ejecutables adicionales, pero tambi\u00e9n ha visto actualizaciones significativas que le permiten perfilar a sus v\u00edctimas para entregar cargas \u00fatiles apropiadas, en algunos casos incluso recurriendo a una forma de enga\u00f1o al servir malware falso.<\/p>\n
Esto implica recopilar el identificador \u00fanico universal del host (UUID<\/a>), el nombre del procesador, los dispositivos de visualizaci\u00f3n conectados y la cantidad de minutos transcurridos desde el inicio del sistema, junto con el nombre de host y la informaci\u00f3n de nombre de usuario recopilada por versiones anteriores del malware.<\/p>\nLuego, los datos de reconocimiento se cifran con una clave codificada y se transmiten a un servidor de comando y control (C2), que responde con un binario de Windows que luego se ejecuta en la m\u00e1quina.<\/p>\n
“No solo descubrimos una versi\u00f3n del malware que es varias veces m\u00e1s compleja, sino que tambi\u00e9n encontramos que la baliza C2, que sol\u00eda tener una URL con un nombre de usuario y un nombre de host en texto sin formato, ahora tiene una s\u00f3lida carga cifrada RC4”, amenaza. dijo el investigador Felipe Duarte.<\/p>\n
<\/p>\n