Siber güvenlik araştırmacıları, Mart 2024’ten bu yana kötü amaçlı Windows Komut Dosyaları (WSF’ler) aracılığıyla kötü amaçlı yazılım yayan yeni bir Raspberry Robin kampanya dalgası keşfettiler.
HP Wolf Security, The Hacker News ile paylaştığı bir raporda, “Tarihsel olarak Raspberry Robin’in USB sürücüler gibi çıkarılabilir medyalar yoluyla yayıldığı biliniyordu, ancak zamanla distribütörleri diğer başlangıç enfeksiyon vektörlerini denedi.” dedi.
QNAP solucanı olarak da adlandırılan Raspberry Robin, ilk olarak Eylül 2021’de tespit edildi ve o zamandan beri son yıllarda SocGholish, Cobalt Strike, IcedID, BumbleBee ve TrueBot gibi çeşitli diğer yükler için bir indiriciye dönüştü ve aynı zamanda bir öncü olarak hizmet etti. fidye yazılımı.
Kötü amaçlı yazılım başlangıçta, güvenliği ihlal edilmiş bir QNAP cihazından yükü alan LNK dosyalarını içeren USB cihazları aracılığıyla dağıtılırken, o zamandan beri sosyal mühendislik ve kötü amaçlı reklamcılık gibi diğer yöntemleri benimsedi.
Microsoft tarafından Storm-0856 olarak takip edilen ve Evil Corp, Silence ve TA505 gibi grupları içeren daha geniş siber suç ekosistemiyle bağlantıları olan yeni ortaya çıkan bir tehdit kümesine atfediliyor.
En son dağıtım vektörü, çeşitli alanlar ve alt alanlar aracılığıyla indirilmek üzere sunulan WSF dosyalarının kullanımını gerektirir.
Saldırganların kurbanları bu URL’lere nasıl yönlendirdikleri şu anda net değil, ancak bunun spam veya kötü amaçlı reklam kampanyaları yoluyla olabileceğinden şüpheleniliyor.
Oldukça karmaşık hale getirilmiş WSF dosyası, curl komutunu kullanarak uzak bir sunucudan ana DLL yükünü almak için bir indirici işlevi görür, ancak bu, bir dizi anti-analiz ve anti-sanal makine değerlendirmesi gerçekleştirilmeden önce, bunun bir sunucuda çalıştırılıp çalıştırılmadığını belirlemek için gerçekleştirilmez. sanallaştırılmış ortam.
Ayrıca, Windows işletim sisteminin yapı numarası 17063’ten (Aralık 2017’de piyasaya sürüldü) düşükse ve çalışan işlemler listesinde Avast, Avira, Bitdefender, Check Point, ESET ile ilişkili antivirüs işlemleri varsa yürütmeyi sonlandırmak için tasarlanmıştır. ve Kaspersky.
Dahası, ana sürücünün tamamını hariç tutma listesine ekleyerek ve taranmasını engelleyerek tespitten kaçınmak amacıyla Microsoft Defender Antivirus hariç tutma kurallarını yapılandırır.
HP, “Komut dosyalarının kendisi şu anda VirusTotal’daki herhangi bir virüs tarayıcısı tarafından kötü amaçlı olarak sınıflandırılmıyor, bu da kötü amaçlı yazılımın kaçamaklığını ve Raspberry Robin ile ciddi bir enfeksiyona neden olma riskini gösteriyor” dedi.
“WSF indiricisi büyük ölçüde gizlenmiş durumda ve kötü amaçlı yazılımın tespitten kaçmasına ve analizi yavaşlatmasına olanak tanıyan birçok analiz tekniği kullanıyor.”