Las recientes iteraciones del malware Raspberry Robin han generado alarma entre los expertos en ciberseguridad debido a su mayor sigilo y utilización de un día. (n-día, o conocido) exploits dirigidos a sistemas vulnerables. Estas hazañas, diseñado para aprovechar vulnerabilidades parcheadas recientemente, aprovechar los retrasos en la implementación de parches, presentando un desafío importante para los defensores.
Detalles del petirrojo frambuesa
| Nombre | Petirrojo frambuesa |
| Escribe | Malware, Gusano |
| Herramienta de eliminación |
Ver si su sistema ha sido afectado por malware
Descargar
Herramienta de eliminación de software malintencionado
|
Descripción técnica de Raspberry Robin
Petirrojo frambuesa, identificado inicialmente por Red Canary en 2021, opera como un gusano transmitido principalmente a través de dispositivos de almacenamiento extraíbles como unidades USB. Mientras sus creadores permanecen sin identificar, la el malware ha sido vinculado a varios actores de amenazas, incluidas bandas de ransomware conocidas como EvilCorp y FIN11. A través del tiempo, Raspberry Robin ha evolucionado, incorporando nuevas técnicas de evasión y métodos de distribución, como eliminar archivos maliciosos a través de Discord.
Explotación de vulnerabilidades del día N
Las campañas recientes de Raspberry Robin han demostrado un enfoque sofisticado para explotar las fallas de n días., como CVE-2023-36802 y CVE-2023-29360, dirigido a Microsoft Streaming Service Proxy y el controlador de dispositivo TPM de Windows, respectivamente. Notablemente, El malware comenzó a aprovechar estas vulnerabilidades poco después de su divulgación pública., indicando una rápida adaptación y acceso a fuentes de código de explotación.
Puntos de control informe Destaca que Raspberry Robin comenzó a explotar estas vulnerabilidades utilizando exploits entonces desconocidos menos de un mes después de su divulgación pública., en Junio 13 y septiembre 12, 2023. Este rápido cambio sugiere que los operadores del malware tienen acceso a fuentes de código de explotación poco después de su divulgación., probablemente de proveedores externos o mercados clandestinos.
Respecto a CVE-2023-36802, que permite a los atacantes elevar los privilegios al nivel del SISTEMA, Según los informes, un exploit había estado disponible para su compra en la Dark Web desde febrero. 2023, varios meses antes de que Microsoft reconociera y abordara el problema. Esta línea de tiempo muestra la agilidad de Raspberry Robin para adquirir y utilizar exploits poco después de su divulgación..
Usar tácticas de evasión avanzadas
Además de explotar vulnerabilidades, El malware ha evolucionado sus tácticas de evasión para eludir las medidas de seguridad de forma eficaz.. Finaliza procesos específicos relacionados con el Control de cuentas de usuario. (UAC) y parches API para evadir la detección por parte de productos de seguridad. Por otra parte, el malware emplea tácticas para evitar cierres del sistema, garantizar una actividad maliciosa ininterrumpida.
El informe de Check Point también señala que Raspberry Robin ahora verifica si ciertas API, como por ejemplo 'GetUserDefaultLangID’ y 'GetModuleHandleW', se enganchan comparando el primer byte de la función API para detectar cualquier proceso de monitoreo por parte de los productos de seguridad. Esto indica un enfoque proactivo por parte del malware para evadir la detección por parte de las herramientas de seguridad..
Ocultar sus comunicaciones., la amenaza utiliza dominios Tor para hacer que sus conexiones iniciales parezcan inocuas. Además, el malware ahora emplea PAExec.exe en lugar de PsExec.exe para las descargas de carga útil, mejorando sus capacidades de sigilo y evadiendo la detección.
La evolución de Raspberry Robin: Conclusión
Mientras Raspberry Robin continúa evolucionando, representa una amenaza persistente para la ciberseguridad. Con su capacidad para adaptarse rápidamente a nuevas vulnerabilidades y evadir la detección., defenderse contra él requiere medidas proactivas. El informe de Check Point ofrece indicadores de compromiso para ayudar a las organizaciones a identificar y mitigar la amenaza que plantea Raspberry Robin.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: