I ricercatori di Trend Micro hanno scoperto nuovi attacchi effettuati contro governi e aziende di telecomunicazioni, sfruttando le funzionalità di Raspberry Robin. Le ultime versioni del malware sono più difficili da analizzare perché i cybercriminali utilizzano varie tecniche di offuscamento, tra cui un falso payload. Fortunatamente, il worm viene rilevato e bloccato dalla maggioranza delle soluzioni di sicurezza.
Raspberry Robin: nuovi metodi evasivi
La catena di infezione di Raspberry Robin è nota. Il malware viene distribuito attraverso drive USB, sui quali è presente un file LNK
. Cliccando sul link viene eseguito il comando msiexec.exe
che scarica l’installer di Raspberry Robin. Al termine dell’installazione, il worm si collega ai server C2 (command and control) ospitati da nodi Tor.
Gli esperti di Trend Micro ha scoperto che il codice delle versioni recenti è pesantemente offuscato per impedire l’analisi attraverso i tool di debugging e per aggirare le soluzioni di sicurezza. Se rileva la presenza di una sandbox, usata per l’analisi del codice, il malware carica in memoria un “fake payload” per ingannare i ricercatori. In alcuni casi viene scaricato un adware (BrowserAssistant) che potrebbe essere considerato il payload reale.
Se non è rilevato nessun tool di analisi, sul computer viene copiato il payload reale, ovvero Raspberry Robin. Le azioni successive sono l’aggiunta di una chiave nel registro di Windows per la persistenza (avvio automatico) e l’escalatiom di privilegi per guadagnare i permessi di amministratore. Infine viene eseguito il client Tor, usando nomi di file legittimi, come dllhost.exe
, regsvr32.exe
o rundll32.exe
.
Il worm viene sfruttato come “accesso iniziale” per distribuire altri malware, tra cui backdoor, trojan bancari e ransomware. Gli utenti devono quindi installare una soluzione di sicurezza aggiornata che può bloccare queste infezioni.