Raspberry Robin: nuova tecnica evasiva del malware

Raspberry Robin: nuova tecnica evasiva del malware

Le versioni più recenti di Raspberry Robin utilizzano varie tecniche per ostacolare l'analisi del codice e aggirare le protezioni di sicurezza.
Le versioni più recenti di Raspberry Robin utilizzano varie tecniche per ostacolare l'analisi del codice e aggirare le protezioni di sicurezza.

I ricercatori di Trend Micro hanno scoperto nuovi attacchi effettuati contro governi e aziende di telecomunicazioni, sfruttando le funzionalità di Raspberry Robin. Le ultime versioni del malware sono più difficili da analizzare perché i cybercriminali utilizzano varie tecniche di offuscamento, tra cui un falso payload. Fortunatamente, il worm viene rilevato e bloccato dalla maggioranza delle soluzioni di sicurezza.

Raspberry Robin: nuovi metodi evasivi

La catena di infezione di Raspberry Robin è nota. Il malware viene distribuito attraverso drive USB, sui quali è presente un file LNK. Cliccando sul link viene eseguito il comando msiexec.exe che scarica l’installer di Raspberry Robin. Al termine dell’installazione, il worm si collega ai server C2 (command and control) ospitati da nodi Tor.

Gli esperti di Trend Micro ha scoperto che il codice delle versioni recenti è pesantemente offuscato per impedire l’analisi attraverso i tool di debugging e per aggirare le soluzioni di sicurezza. Se rileva la presenza di una sandbox, usata per l’analisi del codice, il malware carica in memoria un “fake payload” per ingannare i ricercatori. In alcuni casi viene scaricato un adware (BrowserAssistant) che potrebbe essere considerato il payload reale.

Se non è rilevato nessun tool di analisi, sul computer viene copiato il payload reale, ovvero Raspberry Robin. Le azioni successive sono l’aggiunta di una chiave nel registro di Windows per la persistenza (avvio automatico) e l’escalatiom di privilegi per guadagnare i permessi di amministratore. Infine viene eseguito il client Tor, usando nomi di file legittimi, come dllhost.exe, regsvr32.exe o rundll32.exe.

Il worm viene sfruttato come “accesso iniziale” per distribuire altri malware, tra cui backdoor, trojan bancari e ransomware. Gli utenti devono quindi installare una soluzione di sicurezza aggiornata che può bloccare queste infezioni.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Trend Micro
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 21 dic 2022
Link copiato negli appunti