Raspberry Robin, il worm si sta ora diffondendo attraverso i file WSF

Raspberry Robin, un worm noto per la sua diffusione, sta ora utilizzando Windows Script Files (WSF) per propagarsi. Questo è stato osservato dal team di ricerca delle minacce di HP.

In precedenza, Raspberry Robin era noto per diffondersi tramite supporti rimovibili come le chiavette USB, ma ora gli operatori del malware hanno sperimentato altri tipi di file per l’infezione iniziale. L’ultimo vettore di distribuzione prevede infatti l’uso di file WSF offerti per il download tramite vari domini. Sebbene non sia chiaro in che modo le vittime siano indirizzate a questi URL, si sospetta che ciò potrebbe avvenire tramite campagne malspam o malvertising.

Precursore del ransomware

I file script WSF sono altamente offuscati, il che consente al malware di sfuggire alla rilevazione. Questo è particolarmente preoccupante poiché Raspberry Robin è stato utilizzato in passato come precursore del ransomware. Una volta che un sistema viene infettato da Raspberry Robin, il malware comunica con i suoi server di comando e controllo tramite Tor, da dove può scaricare ed eseguire payload aggiuntivi di diverse famiglie malware, tra cui SocGholish, Cobalt Strike, IcedID, BumbleBee e Truebot.

Offuscamento e anti-analisi

L’offuscamento e le tecniche anti-analisi utilizzate da Raspberry Robin rendono inefficace il testing in un ambiente sandbox. Inoltre il malware è progettato per terminare l’esecuzione:

  • se il numero di build del sistema operativo Windows target è inferiore a 17063 (rilasciato a dicembre 2017);
Fonte HP
  • se l’elenco dei processi in esecuzione include processi antivirus associati a strumenti come Avast, Avira, Bitdefender, Check Point, ed ESET;
Fonte HP
  • se il processore corrisponde ai modelli che indicano che è in esecuzione all’interno di una macchina virtuale o su un server

Monito per i professionisti di sicurezza

Al momento dell’analisi, avvertono i ricercatori, non sono stati classificati come dannosi da nessuno scanner antivirus su VirusTotal, dimostrando l’evasività del malware. Pertanto, le organizzazioni dovrebbero considerare delle restrizioni sui file WSF fino a quando non sarà disponibile un modo per la rilevazione preventiva. Questo rapporto deve essere da monito per i professionisti della sicurezza, poiché Raspberry Robin rappresenta una minaccia significativa soprattutto perché può essere utilizzato come punto di partenza per attacchi di ransomware.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.