.
Raspberry Robin, um worm que se espalha pelos sistemas Windows via drives USB, evoluiu rapidamente: agora o acesso backdoor está sendo vendido ou oferecido a máquinas infectadas para que ransomware, entre outros códigos, possam ser instalados por cibercriminosos.
Em um relatório Na quinta-feira, a unidade Security Threat Intelligence da Microsoft disse que o Raspberry Robin agora é “parte de um ecossistema de malware complexo e interconectado” com links para outras famílias de códigos maliciosos e vínculos com infecções de ransomware.
Em última análise, Raspberry Robin apareceu pela primeira vez como um worm estranho que se espalhou de PC para PC sem um objetivo óbvio. Agora, quem está controlando o malware aparentemente o está usando para oferecer acesso a máquinas infectadas para que outros softwares maliciosos possam ser implantados, como ransomware, por outros criminosos.
“A cadeia de infecção do Raspberry Robin é um mapa confuso e complicado de vários pontos de infecção que podem levar a muitos resultados diferentes, mesmo em cenários em que dois hosts são infectados simultaneamente”, escreveram os pesquisadores da Microsoft.
“Existem vários componentes envolvidos; diferenciá-los pode ser um desafio, pois os invasores por trás da ameaça se esforçaram ao máximo para proteger o malware em cada estágio com mecanismos de carregamento complexos”.
De acordo com dados coletados pela ferramenta Defender for Endpoint da Microsoft, quase 3.000 dispositivos em cerca de 1.000 organizações receberam pelo menos um alerta sobre uma carga maliciosa relacionada ao Raspberry Robin nos últimos 30 dias.
“O Raspberry Robin evoluiu de um worm amplamente distribuído sem ações pós-infecção observadas quando a Red Canary o relatou pela primeira vez em maio de 2022, para uma das maiores plataformas de distribuição de malware atualmente ativas”, escreveram eles.
Pesquisadores da Red Canary primeiro observado Atividades do Raspberry Robin em setembro de 2021. O malware era um worm normalmente instalado por meio de um dispositivo USB removível e usava servidores de armazenamento QNAP comprometidos para seus servidores de comando e controle (C2) de back-end.
Um pendrive infectado com Raspberry Robin contém um arquivo .lnk que se parece com uma pasta legítima. A unidade pode ser configurada para executar automaticamente esse arquivo – que as organizações podem bloquear – ou o usuário é induzido a clicar duas vezes no arquivo de link. Esse arquivo .lnk então executa comandos para buscar e executar de um servidor C2 o principal código de malware no PC da vítima.
Consulte a postagem da Microsoft acima para obter detalhes técnicos sobre como detectar uma intrusão do Raspberry Robin. Um PC é infectado após inserir a unidade USB e/ou executar o arquivo .lnk. Algumas infecções ocorreram sem um arquivo de link e unidade USB, indicando que há mais de uma maneira de capturar o Raspberry Robin.
Só está piorando
Microsoft, IBM e Cisco têm acompanhado o Raspberry Robin e sua evolução. Dois meses após o relatório da Red Canary, a Microsoft detectou Raspberry Robin – que a gigante de TI está rastreando como DEV-0856 – instalando em computadores comprometidos o malware backdoor FakeUpdates (também conhecido como SocGolish), que também é usado por Corpo do Mal – um grupo russo de crimes cibernéticos rastreado pela Microsoft como DEV-0243 que espalha o trojan bancário Dridex.
O Raspberry Robin também foi usado para implantar o IdedID (ou trojan bancário BokBot), carregador de malware Abelha, e o trojan Truebot. Scumbags também ordenaram que ele executasse o ransomware LockBit e agora Clop ransomware em máquinas sequestradas, de acordo com os analistas da Microsoft.
Fica pior. Este mês, a Microsoft viu o Raspberry Robin sendo usado por uma equipe rastreada como DEV-0950, que se sobrepõe a gangues marcadas como FIN11 e TA505. Depois que o Raspberry Robin infecta um PC, o DEV-0950 o usa para executar o Cobalt Strike – e ocasionalmente o Truebot – de acordo com a Microsoft. Eventualmente, Clop é executado no computador da vítima. Raspberry Robin tem sido uma benção para esses canalhas, de acordo com os pesquisadores da Microsoft.
“O DEV-0950 tradicionalmente usa phishing para adquirir a maioria de suas vítimas, portanto, essa mudança notável para o uso do Raspberry Robin permite que eles entreguem cargas úteis às infecções existentes e movam suas campanhas mais rapidamente para os estágios de ransomware”, escreveram eles.
“Dada a natureza interconectada da economia do crime cibernético, é possível que os atores por trás dessas campanhas de malware relacionadas ao Raspberry Robin – geralmente distribuídas por outros meios, como anúncios maliciosos ou e-mail – estejam pagando aos operadores do Raspberry Robin por instalações de malware”.
Em julho, a Microsoft descobriu que o Fauppod – malware distribuído por outro grupo chamado DEV-0651 do Azure e Discord – tem código semelhante ao Raspberry Robin. Ele também forneceu backdoors FakeUpdates.
O Security X-Force da IBM em setembro encontrou outras conexões entre o Raspberry Robin e o Dridex – incluindo semelhanças em estrutura e funcionalidade – entre um Raspberry Robin DLL e um carregador de malware Dridex.
“Assim, a pesquisa de segurança da IBM traça outra ligação entre as infecções do Raspberry Robin e o grupo cibercriminoso da Rússia ‘Evil Corp’, que é o mesmo grupo por trás do Dridex Malware, sugerindo que a Evil Corp provavelmente está usando a infraestrutura do Raspberry Robin para realizar seus ataques. ataques”, escreveu Kevin Henson, engenheiro reverso de malware, e Emmy Ebanks, respondente a ameaças cibernéticas, da IBM.
Espera-se que o malware continue a se transformar em uma ameaça cada vez mais perigosa, de acordo com a Microsoft.
“Embora o Raspberry Robin parecesse não ter propósito quando foi descoberto, ele evoluiu e está caminhando para fornecer um impacto potencialmente devastador em ambientes onde ainda está instalado”, escreveram os analistas.
“O Raspberry Robin provavelmente continuará a se desenvolver e levará a mais distribuição de malware e relacionamentos de grupos de atividades cibercriminosas à medida que sua área de instalação cresce”. ®
.
