Raspberry Robin, un worm noto per la sua diffusione, sta ora utilizzando Windows Script Files (WSF) per propagarsi. Questo è stato osservato dal team di ricerca delle minacce di HP.
In precedenza, Raspberry Robin era noto per diffondersi tramite supporti rimovibili come le chiavette USB, ma ora gli operatori del malware hanno sperimentato altri tipi di file per l’infezione iniziale. L’ultimo vettore di distribuzione prevede infatti l’uso di file WSF offerti per il download tramite vari domini. Sebbene non sia chiaro in che modo le vittime siano indirizzate a questi URL, si sospetta che ciò potrebbe avvenire tramite campagne malspam o malvertising.
Precursore del ransomware
I file script WSF sono altamente offuscati, il che consente al malware di sfuggire alla rilevazione. Questo è particolarmente preoccupante poiché Raspberry Robin è stato utilizzato in passato come precursore del ransomware. Una volta che un sistema viene infettato da Raspberry Robin, il malware comunica con i suoi server di comando e controllo tramite Tor, da dove può scaricare ed eseguire payload aggiuntivi di diverse famiglie malware, tra cui SocGholish, Cobalt Strike, IcedID, BumbleBee e Truebot.
Offuscamento e anti-analisi
L’offuscamento e le tecniche anti-analisi utilizzate da Raspberry Robin rendono inefficace il testing in un ambiente sandbox. Inoltre il malware è progettato per terminare l’esecuzione:
- se il numero di build del sistema operativo Windows target è inferiore a 17063 (rilasciato a dicembre 2017);
- se l’elenco dei processi in esecuzione include processi antivirus associati a strumenti come Avast, Avira, Bitdefender, Check Point, ed ESET;
- se il processore corrisponde ai modelli che indicano che è in esecuzione all’interno di una macchina virtuale o su un server
Monito per i professionisti di sicurezza
Al momento dell’analisi, avvertono i ricercatori, non sono stati classificati come dannosi da nessuno scanner antivirus su VirusTotal, dimostrando l’evasività del malware. Pertanto, le organizzazioni dovrebbero considerare delle restrizioni sui file WSF fino a quando non sarà disponibile un modo per la rilevazione preventiva. Questo rapporto deve essere da monito per i professionisti della sicurezza, poiché Raspberry Robin rappresenta una minaccia significativa soprattutto perché può essere utilizzato come punto di partenza per attacchi di ransomware.