Raspberry Robin Worm brütet ein hochkomplexes Upgrade aus

Hackergruppen verwenden eine neue Version des Raspberry Robin-Frameworks, um Finanzinstitute in spanischer und portugiesischer Sprache anzugreifen – und ihr Komplexitätsquotient wurde erheblich verbessert, sagten Forscher jene Woche.

Laut einem Informationsaustausch jener Cybersicherheitsfirma Security Joes vom 2. Januar hat die Typ denselben QNAP-Server zu Händen mehrere Angriffsrunden verwendet – dagegen die Opferdaten sind nicht mehr im Klartext, sondern RC4-verschlüsselt, und jener Downloader-System wurde mit neuen aktualisiert Wider-Begutachtung-Fähigkeiten, einschließlich weiterer Verschleierungsebenen.

Raspberry Robin ist ein Backdooring-Wurm, jener PCs via trojanisierte USB-Geräte infiziert, vorher er sich hinaus andere Geräte im Netzwerk eines Ziels ausbreitet und denn Ladeprogramm zu Händen andere Schadsoftware fungiert. Seither es im Mai beim Nisten in Unternehmensnetzwerken entdeckt wurde, hat es schnell Tausende und Abertausende von Endpunkten infiziert – und die Stil entwickelt sich rasant weiter.

Es wird erdacht, dass jener Bedrohungsakteur hinterm Wurm Teil eines größeren Ökosystems ist, dies die Rastlosigkeit vor Ransomware erleichtert, und gilt denn eine jener größten derzeit aktiven Plattformen zur Verteilung von Schadsoftware. Forscher nach sich ziehen es kürzlich wie mit Evil Corp in Verpflichtung gebracht, dank seiner erheblichen Ähnlichkeiten mit dem Dridex-Schadsoftware-Loader.

„Dasjenige Einzigartige an jener Schadsoftware ist, dass sie stark verschleiert und hochkomplex ist, um sie statisch zu zertrennen“, schrieb dies Forschungsteam.

Aktualisierte Schadsoftware-Version hebt ab

In jener neuesten Iteration wurde jener Schadsoftware-Schutzmechanismus aktualisiert, um mindestens fünf Schutzebenen bereitzustellen, vorher jener bösartige Identifikationsnummer bereitgestellt wird, einschließlich eines Packers jener ersten Stufe, um den Identifikationsnummer jener nächsten Phasen des Angriffs zu verschleiern, gefolgt von einem Shellcode-Loader.

Die nächsten drei Schichten zusammenfassen eine Lade-DLL jener zweiten Stufe, Zwischen-Shellcode und schließlich den Shellcode-Downloader. Dieses komplexe Gerüst erschwert die Erkennung des Wurms und erleichtert synchron die seitliche politische Bewegung durch Netzwerke, erklärten die Forscher.

Die Untersuchung zeigte ebenso, dass Betreiber von Raspberry Robin damit begonnen nach sich ziehen, mehr Fakten via ihre Todesopfer zu vereinen, denn zuvor berichtet wurde.

„Wir nach sich ziehen nicht nur eine Version jener Schadsoftware entdeckt, die um ein Vielfaches komplexer ist, sondern wir nach sich ziehen ebenso festgestellt, dass dies C2-Beaconing, dies früher eine URL mit einem Klartext-Benutzernamen und -Hostnamen hatte, jetzt eine robuste RC4-verschlüsselte Nutzlast hat. “, schrieb jener leitende Bedrohungsforscher Felipe Duarte, jener die Untersuchung leitete.

In einem Kasus dokumentierte dies Forschungsteam, wie eine 7-Zip-File vom Browser des Opfers heruntergeladen wurde, notfalls von einem böswilligen Link oder Begleitperson, jener den Benutzer zum Handeln verleitete.

„Im Kontext jener Inspektion stellte sich hervor, dass es sich zusammen mit dem Dokumentensammlung um ein MSI-Installationsprogramm handelte, dies zusammen mit seiner Exekution mehrere Dateien hinaus dem Computer des Opfers ablegt“, heißt es in dem Informationsaustausch.

In einem zweiten Kasus wurde die bösartige Nutzlast hinaus einem Discord-Server gehostet, jener von den Angreifern verwendet wurde, um Schadsoftware hinaus den Computer des Opfers zu transferieren, um eine Feststellung zu vermeiden und Sicherheitskontrollen zu umgehen.

„In den von uns untersuchten Fällen kategorisch sich Bedrohungsakteure, zusätzliche Validierungen in ihrem Backend zu implementieren, um eine bessere Zerlegung und Visibilität ihrer Ziele zu glücken“, heißt es in dem Informationsaustausch. „Aufwärts jene Weise können sie in Sandboxen laufende Bots filtern, Umgebungen auswerten und hinaus jeglicher anderen Umstände reagieren, die zusammensetzen Teil des Botnet-Betriebs stören könnten, um ihn in Echtzeit zu beheben.“

Raspberry Robin macht die Runde

Die Gefahr ist nachlässig und folgt einem Warenmuster aus Erscheinen, Verschwinden und Wiederauftauchen mit erheblich verbesserten Fähigkeiten.

Dasjenige Sicherheitsunternehmen Red Canary analysierte und benannte Raspberry Robin erstmals im Mai und stellte stramm, dass es Ziele via bösartige USB-Laufwerke infizierte und andere Endpunkte entwurmte – dagegen dann inaktiv blieb.

Nachfolgende Berichte stellten dann stramm, dass jener Raspberry Robin-Wurm 10 Verschleierungsebenen und gefälschte Payloads hinzugefügt hat, um Angriffe hinaus Telekommunikationsunternehmen und Regierungen in Down Under, Europa und Lateinamerika zu starten, so ein Forschungsbericht von Trend Micro vom zwölfter Monat des Jahres.

In Bälde darauf wurden andere Forscher darauf bedacht, darunter IBM Security und dies Microsoft Security Threat Intelligence Center (MSTIC); letzterer überwacht die Betreiber des Raspberry-Robin-Wurms unter dem Namen DEV-0856.