.
A Microsoft está alertando que o relativamente novo worm Raspberry Robin de unidade USB disparou alertas de carga útil em quase 3.000 dispositivos em quase 1.000 organizações nos últimos 30 dias.
O malware Raspberry Robin já foi visto instalado com o malware FakeUpdates, que foi vinculado ao grupo russo de crimes cibernéticos EvilCorp. O Raspberry Robin também foi usado para implantar o ransomware Lockbit, bem como o malware IcedID, Bumblebee e Truebot. Agora, a Microsoft o viu sendo usado para implantar o Clop ransomware.
A Microsoft atribui as implantações do Clop conectadas com o uso do Raspberry Robin a um grupo que rastreia como DEV-0950. Suas atividades se sobrepõem aos grupos de hackers avançados rastreados pela FireEye como FIN11. O grupo publicou no ano passado os dados de suas vítimas no site de vazamento de ransomware Clop.
“O DEV-0950 tradicionalmente usa phishing para adquirir a maioria de suas vítimas, portanto, essa mudança notável para o uso do Raspberry Robin permite que eles entreguem cargas úteis às infecções existentes e movam suas campanhas mais rapidamente para os estágios de ransomware”, observa o Microsoft Security Threat Intelligence Center ( MSTIC).
Também: Ransomware: por que ainda é uma grande ameaça e para onde as gangues estão indo a seguir
A empresa de segurança Red Canary descobriu o worm Raspberry Robin em setembro de 2021 e disse que ele era frequentemente instalado em sistemas Windows por meio de uma unidade USB, que contém um arquivo de atalho LNK disfarçado de pasta. O malware depende de as vítimas inserirem uma unidade USB para serem executadas. Embora a execução automática de mídia removível esteja desabilitada por padrão no Windows, a Microsoft observa que muitas organizações a habilitam por meio de alterações herdadas da Política de Grupo.
O MSTIC descobriu que o Raspberry Robin depende da execução automática e engana os usuários para clicar no arquivo LINK.
“Algumas unidades Raspberry Robin têm apenas o LNK e arquivos executáveis, enquanto unidades de infecções anteriores têm um autorun.inf configurado”, observa o MSTIC.
Essa mudança pode explicar por que os nomes dos arquivos de atalho mudaram de nomes mais genéricos, como recovery.lnk, para nomes de marcas de unidades USB. A Microsoft suspeita que isso seja para incentivar um usuário a executar o arquivo LNK. Ele também solicita que os dispositivos de armazenamento QNAP comprometidos forneçam uma carga maliciosa.
“O arquivo LNK do Raspberry Robin aponta para cmd.exe para iniciar o serviço Windows Installer msiexec.exe e instalar uma carga maliciosa hospedada em dispositivos NAS (Network Attached Storage) comprometidos”, explica MSTIC.
A partir de julho, o FakeUpdates, um backdoor JavaScript, tocou no Raspberry Robin para entrega, adicionando anúncios maliciosos que eram usados anteriormente para entrega.
Também: O que, exatamente, é cibersegurança? E por que isso importa?
A Microsoft encontrou algumas conexões entre o Raspberry Robin e outro malware chamado Fauppod, que também comunica dispositivos QNAP comprometidos. Fauppod é um malware fortemente ofuscado escrito em .NET. A Microsoft acredita que o Fauppod é parte do método inicial pelo qual o Raspberry Robin infecta as máquinas.
“Com base em nossa investigação, a Microsoft atualmente avalia com confiança média que as DLLs .NET acima entregues por infecções por Raspberry Robin LNK e amostras Fauppod CPL são responsáveis por espalhar arquivos Raspberry Robin LNK para unidades USB. Esses arquivos LNK, por sua vez, infectam outros hosts através da cadeia de infecção detalhada no blog da Red Canary.”
“A Microsoft também avalia com confiança média que as amostras CPL empacotadas com Fauppod são atualmente o ponto mais antigo conhecido na cadeia de ataque para propagar infecções de Raspberry Robin para alvos. , os arquivos Raspberry Robin LNK documentados Red Canary, e os arquivos Raspberry Robin DLL (ou, Roshtyak, conforme A2host) podem ser considerados como vários componentes para a cadeia de infecção por malware “Raspberry Robin”.
A Microsoft também apoiou a afirmação anterior da IBM de que o Fauppod estava ligado ao notório trojan bancário Dridex.
.
