L’azienda di sicurezza informatica HP Wolf Security ha recentemente svelato i dettagli di una nuova e insidiosa campagna di malware denominata Raspberry Robin. Individuata a marzo 2024, questa minaccia informatica si avvale di file script di Windows (WSF) per diffondere furtivamente i suoi payload dannosi sui sistemi infetti, sfidando i software di sicurezza e gli sforzi di analisi dei ricercatori.
Tattiche evasive all’avanguardia
Secondo l’analisi condotta da HP, i file WSF utilizzati da Raspberry Robin impiegano una serie di tattiche evasive per sfuggire ai radar dei software di sicurezza. Tra queste, spicca l’interruzione dell’esecuzione in caso di rilevamento di alcuni prodotti di sicurezza come Kaspersky o Bitdefender, oltre alla configurazione delle esclusioni di Microsoft Defender per impedirne l’analisi.
Attualmente, nessun motore antivirus sul multi-scanner di VirusTotal è in grado di segnalare questi script come dannosi, consentendo al malware di diffondersi indisturbato e senza incontrare alcuna misura difensiva.
Evoluzione e diffusione del malware
Raspberry Robin, conosciuto anche come QNAP, ha fatto la sua prima comparsa nel settembre 2021, diffondendosi tramite dispositivi USB dannosi. Tuttavia, nel corso del tempo, i suoi autori hanno sperimentato nuovi vettori di distribuzione, come le campagne di social engineering che conducono le vittime a domini che ospitano file WSF dannosi.
Una volta eseguiti su un sistema Windows vulnerabile, questi script WSF possono recuperare una serie di potenziali payload appartenenti alla famiglia di malware Raspberry Robin, tra cui trojan per il furto di dati come SocGholish, Cobalt Strike beacon e precursori di infezioni ransomware delle reti aziendali.
Il gruppo di criminali informatici dietro Raspberry Robin
Le indagini hanno collegato Raspberry Robin a un nuovo gruppo di criminali informatici noto come Storm-0856, che sembrerebbe avere legami con famose bande di ransomware con base in Russia, come Evil Corp e Silence.
La ricerca di HP ha inoltre rivelato che l’ultima versione di questo malware esegue una serie di controlli per convalidare l’ambiente prima di avviare la fase successiva dell’infezione, esaminando il numero di versione di Windows, cercando le macchine virtuali utilizzate nella scansione del malware e interrompendo il processo se vengono rilevati alcuni prodotti di sicurezza.
Se tutti i controlli hanno esito positivo, Raspberry Robin configura le esclusioni di Microsoft Defender per rimuovere la protezione, inserendo nella whitelist l’intera unità principale del sistema e garantendosi così un accesso incontrollato all’intero dispositivo, rimanendo nascosto al software di sicurezza dell’utente.
L’importanza della prudenza e della protezione
Gli sviluppatori di malware sono diventati veri e propri esperti nello sviluppo di codice maligno appositamente progettato per eludere il rilevamento, anche da parte dei principali fornitori di antivirus. Recenti scoperte, come quella di un malware rimasto inosservato per ben 5 anni prima di essere individuato dai ricercatori di Kaspersky, dimostrano quanto sia importante fare attenzione a ciò che si installa sui propri computer.
Dal momento che tra virus e malware ci sono alcune differenze, al momento gli antivirus non sono in grado di rilevare questo nuovo malware. Proprio per questo è comunque consigliabile scegliere un software di protezione adeguato, seguendo le guide disponibili sui migliori freeware per Windows. Non tutti gli antivirus sono ugualmente efficaci, quindi è fondamentale optare per il software più adatto alle proprie esigenze e mantenere alta la guardia di fronte alle crescenti minacce informatiche.