fbpx
Jue. Ene 26th, 2023

    El gusano Raspberry Robin se ha utilizado en ataques contra telecomunicaciones y sistemas de oficinas gubernamentales en América Latina, Australia y Europa desde al menos septiembre de 2022.

    «La carga útil principal en está repleta de ms de 10 capas para la ofuscación y es capaz de entregar una carga útil falsa una vez que detecta herramientas de anlisis de seguridad y sandboxing, dijo Christopher So, investigador de Trend Micro , en un anlisis técnico publicado el martes.

    La mayoría de las infecciones se han detectado en Argentina, seguida de Australia, México, Croacia, Italia, Brasil, Francia, India y Colombia.

    Raspberry Robin, atribuido a un grupo de actividad rastreado por Microsoft como DEV-0856 , está siendo cada vez ms aprovechado por múltiples actores de amenazas como mecanismo de acceso inicial para entregar cargas útiles como LockBit y Clop ransomware.

    El malware es conocido por depender de unidades USB infectadas como vector de distribución para descargar un archivo instalador MSI malicioso que despliega la carga útil principal responsable de facilitar la explotación posterior.

    Un anlisis ms detallado de Raspberry Robin revela el uso de una fuerte ofuscación para evitar el anlisis, con el malware «compuesto por dos cargas útiles incrustadas en un cargador de carga útil empaquetado seis veces.

    El cargador de carga útil, por su parte, está orquestado para cargar la carga útil de señuelo, un adware denominado BrowserAssistant, para frustrar los esfuerzos de detección.

    petirrojo frambuesa

    Si no se observa el sandboxing ni el anlisis, la carga útil legítima se instala y procede a conectarse a una dirección .onion codificada utilizando un cliente TOR personalizado incrustado en él para esperar ms comandos.

    El proceso del cliente TOR se hace pasar por procesos legítimos de Windows como dllhost.exe, regsvr32.exe y rundll32.exe, lo que una vez ms subraya los considerables esfuerzos realizados por el actor de amenazas para pasar desapercibido.

    Adems, la rutina real del malware se ejecuta en la Sesión 0 , una sesión de Windows especializada reservada para servicios y otras aplicaciones de usuario no interactivas para mitigar los riesgos de seguridad, como los ataques de fragmentación .

    Trend Micro dijo que encontró similitudes en una escalada de privilegios y una técnica anti-depuración utilizada por Raspberry Robin y el ransomware LockBit, lo que sugiere una posible conexión entre los dos actores criminales.

    «El grupo detrs de Raspberry Robin es el fabricante de algunas de las herramientas que también usa LockBit, teorizó la compañía, y agregó que «aprovechó los servicios del afiliado responsable de las técnicas utilizadas por LockBit.

    Dicho esto, las intrusiones parecen ser una operación de reconocimiento, ya que no se devuelven datos del dominio TOR, lo que sugiere que el grupo detrs del malware est «probando las aguas para ver hasta dónde se pueden propagar sus implementaciones.

    FUENTE: THN

    error: Content is protected !!
    A %d blogueros les gusta esto: