名为 Raspberry Robin 的恶意软件会攻击 Windows 计算机。该计算机蠕虫在恶意网站上传播,能够欺骗大多数防病毒软件,包括操作系统的默认解决方案 Microsoft Defender。
2021 年底,出现了一种针对 Windows 计算机的强大恶意软件。该病毒首次传播,名为“Raspberry Robin”攻击企业网络。由于该恶意软件,网络犯罪分子能够部署危险病毒在多个组织的机器上。 Raspberry Robin 属于以下类别装载机。它的目的只是为其他类型的恶意软件(例如病毒、勒索软件或间谍软件)的部署和执行做好准备。
另请阅读:c这次新的网络攻击表明您绝对不应该重复使用您的密码
恶意脚本
最初,Raspberry Robin 通过 USB 记忆棒以老式方式传播。不幸的是,该恶意软件的新版本刚刚被研究人员发现惠普威胁研究。这种新的迭代通过损坏的 Windows 脚本文件 (WSF) 在 Internet 上传播。这些脚本广泛用于 Windows 环境,允许您在计算机上自动执行任务。
“这些文件被管理员和合法软件广泛使用,以在 Windows 中自动执行任务,但也可能被滥用”解释惠普威胁研究在他的报告中。
为了传播加载程序,黑客将 Windows 脚本文件 (WSF) 文件放入恶意网站。一旦陷阱设置完毕,他们就会通过经典的网络钓鱼策略或广告活动说服受害者访问该网站。然后他们要求目标将脚本下载到他们的计算机上。这就是陷阱关闭的地方。正如所解释的惠普威胁研究目前,黑客使用的具体方法仍不得而知。
恶意软件如何欺骗防病毒软件?
请注意,犯罪分子已经照顾了混淆恶意脚本代码逃避安全机制。正如研究人员所解释的,代码中充满了很多难以辨认的字符。这些“作为隐藏实际脚本的干扰,并可能使检查该文件的任何人相信它根本不是脚本文件”。
一旦安装在目标机器上,Raspberry Robin 就会实施其他策略来逃避攻击者的警惕。防病毒软件。事实上,加载程序会扫描计算机以查明是否已安装防病毒软件。如果是这样,他将暂停其执行以避免被发现。根据调查,该计算机蠕虫可以识别卡巴斯基、ESET、Check Point、Avast 和 Avira 等解决方案。 Raspberry Robin 只会等到防病毒软件不再运行(例如在更新期间)才采取行动。
此外,Raspberry Robin 还找到了一种方法逃离 Microsoft Defender,默认的Windows防病毒软件。该蠕虫会将 Microsoft Defender 配置为在扫描期间忽略系统的某些区域。为了实现这一点,它将添加一个例外,指定不应扫描系统的某些部分。该异常指示 Microsoft Defender 不扫描计算机的主驱动器(通常用字母 C 表示)。实际上,在常规防病毒扫描期间,不会扫描位于该驱动器上的所有文件、文件夹和程序。从那里,病毒可以在防病毒软件不知情的情况下自由访问计算机。
然后,Raspberry Robin 将下载、安装并运行 SocGholish、Cobalt Strike、IcedID、BumbleBee 和 Truebot 等恶意软件。这些病毒特别能够远程控制受感染的系统或窃取个人数据,例如银行详细信息。此外,该加载程序还被专门从事勒索软件的团伙利用。
来源 : 惠普
