Исследователи обнаружили новую масштабную атаку с использованием вредоносной программы Raspberry Robin. С марта 2024 года злоумышленники активно распространяют ее при помощи модифицированных файлов Windows Script Files (WSF).
Как отмечает исследователь HP Wolf Security, Патрик Шлепфер, ранее Raspberry Robin, известная также как QNAP-червь, распространялась в основном через съемные носители вроде USB. Однако теперь операторы стали экспериментировать с другими методами, пишут в Securitylab.
Raspberry Robin, впервые обнаруженная в сентябре 2021 года, со временем стала использоваться для загрузки множества программ, таких как SocGholish, Cobalt Strike, IcedID, BumbleBee и TrueBot. Более того, Raspberry Robin может применяться в качестве предварительного этапа для развертывания вымогательского ПО.
Новая кампания использует WSF-файлы, которые размещаются на множестве разных доменов и поддоменов. Пока неясно, каким способом злоумышленники заманивают пользователей на эти ссылки, но, вероятно, здесь помогают спам и мошенническая реклама.
Хорошо обфусцированный WSF скачивает вредоносную нагрузку с удаленного сервера. Перед этим он проводит ряд проверок, чтобы избежать обнаружения.
Вредонос конфигурирует Microsoft Defender Antivirus таким образом, чтобы весь основной диск был добавлен в список исключений. Кроме того, он прекращает выполнение, если обнаруживает, что номер сборки операционной системы Windows ниже 17063 (выпущенной в декабре 2017 года), а также если в списке запущенных процессов присутствуют приложения Avast, Avira, Bitdefender, Check Point, ESET и Kaspersky.