Raspberry Robin vuelve a la carga. Desde marzo de 2024, los investigadores de ciberseguridad han encontrado una nueva versión de este malware que se propaga a través de archivos de script de Windows (WSF) maliciosos. De este modo, es capaz de evitar programas antivirus y otras soluciones de protección de terminales.
Hasta la fecha, se sabía que Raspberry Robin se propagaba a través de medios extraíbles, como unidades USB, aunque con el paso del tiempo sus distribuidores han ido implementando otros vectores de infección iniciales.
Esta conclusión, permite comprender que el archivo WSF malicioso se aloja en diferentes dominios y subdominios. Posteriormente, proceden a engañar a las víctimas para que naveguen a esas URL, con medios desconocidos. Eso es posible mediante ingeniería social, phishing o publicidad maliciosa. Estas son las claves de la investigación formulada por Patrich Schläpfer, investigador de HP Raspberry Robin, para The Hacker News.
El ofuscado archivo WSF funciona como un descargador para recuperar la carga útil principal de la DLL de un servidor remoto, empleando para ello el comando curl. No obstante, se llevan a cabo una serie de evaluaciones antianálisis y anti-máquinas virtuales que permiten determinar si se está ejecutando en un entorno virtualizado.
Las claves de Raspberry Robin
Este malware se ha venido distribuyendo mediante dispositivos USB que contenían archivos LNK que recuperaban la carga útil de un dispositivo QNAP comprometido. De ahí que a Raspberry Robin se le conozca también como gusano QNAP.
Su primera detección llegó en septiembre de 2021, evolucionando hasta convertirse en la actualidad en un descargador de otras cargas útiles (DLL principal) como SocGholish, Cobalt Strike, IcedID, BumbleBee y TrueBot.
Como precursor en el secuestro de datos, Raspberry Robin se atribuye a un grupo de amenazas emergentes: Storm 0856, según Microsoft. Posee vínculos con el ecosistema del cibercrimen más amplios, vinculándose así a grupos de la talla de Evil Corp, TA505 y Silence.
De igual modo, Raspberry Robin está diseñado para que pueda finalizar la ejecución si el número de compilación del sistema operativo Windows es inferior a 17063 (originado antes de diciembre de 2017) y si la lista de procesos en ejecución incluye procesos antivirus asociados con Avast, Avira, Bitdefender, Check Point, ESET. y Kaspersky.
Raspberry Robin fue identificado por primera vez de la mano de los investigadores de Red Canary. Éstos descubrieron un grupo de actividad maliciosa que operaba y se distribuía offline, mediante unidades UBS infectadas. Tras analizar dichas memorias USB infectadas, descubrieron que el gusano era capaz de propagarse a nuevos dispositivos por un archivo LNK malicioso.
Elude los antivirus
Ese es el principal potencial de Raspberry Robin. Configura las reglas de exclusión de Microsoft Defender Antivirus en un esfuerzo por eludir la detección, agregando a su vez toda la unidad principal a la lista de exclusión, evitando que se analice.
Raspberry Robin emplea la metodología de la infección por alquiler. Casi 3.000 dispositivos en 1.000 organizaciones han experimentado alguna alerta o amenaza relacionada con la carga útil de este malware durante el último mes.
Desde julio de 2022 se aprecia este fenómeno, sumado a que en octubre de 2022, Microsoft también detectó que FIN11 estaba utilizando Raspberry Robin. De estar tras él TA505, estaríamos hablando del grupo oculto tras el troyano bancario Dridex y el ransomware Locky.
Dicha actividad, en aquel momento, generó compromisos prácticos del teclado de Cobalt Strike, a veces con una infección latente de Truebot entre las diferentes etapas de Raspberry Robin y Cobalt Strike. A continuación, fue implementado el ransomware Clop.
Microsoft llevó a la conclusión de que, el grupo oculto tras Raspberry Robin, estaba aceptando pagos para implementar malware y ransomware en puntos finales de sus víctimas. Esa naturaleza interconectada de la economía cibercriminal, demostraría claramente esta operativa, visible en cada una de las instalaciones de malware.
Riguroso análisis forense
Para acometerlo, es importante acotar el evento en el tiempo, ya que este puede proceder de una alerta SIEM, consola de EDR/Antivirus, conexión anómala en el firewall o un aviso por parte del usuario. Hay activos que poseen un gran ciclo de vida, por lo que es fundamental que se acote la hora del incidente, ya que las acciones que crearon la alerta deberán estar antes del evento.
Cuando tuvo su gran presencia en 2022, Raspberry Robin no estaba integrado en SIEM ni EDR. El usuario avisó de múltiples alertas de antivirus a lo largo del mes de mayo. El objetivo de este análisis fue identificar el dispositivo o medio extraíble, así como el usuario que inició la infección.
Para ello, se formuló un triaje del equipo que permitiese conocer su procedencia. Así pues, se inició con un análisis riguroso de las alertas de Microsoft Defender, presentes en el fichero Microsoft-Windows-Windows-Defender Operational.evtx, en este caso concreto del que se habla. Y es que aunque no se puede evidenciar siempre que la unidad USB esté infectada, existe una gran probabilidad.