Un nouveau malware indétectable par les antivirus sur Windows fait son apparition
Mauvaise nouvelle pour les utilisateurs de Windows, une nouvelle variante inquiétante du célèbre logiciel malveillant Raspberry Robin est apparue. Selon les chercheurs, elle est pratiquement indétectable par les principales solutions antivirus et de sécurité des points d’accès.
La société de cybersécurité HP Wolf Security a révélé des détails sur la nouvelle campagne malveillante Raspberry Robin repérée en mars 2024. Cette dernière évolution s’appuie sur des fichiers de script Windows (WSF) pour récupérer et déployer furtivement ses charges utiles malveillantes sur les systèmes infectés.
Selon l’analyse de HP, les fichiers WSF utilisent une série de tactiques d’évasion pour passer sous le radar des logiciels de sécurité et des efforts d’analyse des chercheurs en sécurité. Il s’agit notamment d’interrompre l’exécution si certains produits de sécurité comme Kaspersky ou Bitdefender sont détectés, ainsi que de configurer les exclusions de Microsoft Defender pour empêcher l’analyse.
LES ANTIVIRUS SONT INCAPABLES DE DÉTECTER LE MALWARE
Notamment, les scripts ne sont actuellement signalés comme malveillants par aucun moteur antivirus sur le multi-scanner de VirusTotal, ce qui permet au logiciel malveillant de se propager sans rencontrer aucune mesure défensive.
Raspberry Robin, également connu sous le nom de QNAP, est apparu pour la première fois en septembre 2021, se propageant par le biais de périphériques USB malveillants. Mais ses auteurs ont depuis expérimenté de nouveaux vecteurs de distribution, tels que des campagnes d’ingénierie sociale conduisant les victimes vers des domaines hébergeant des fichiers WSF vérolés.
Une fois exécutés sur un système Windows vulnérable, les scripts WSF peuvent récupérer un certain nombre de charges utiles potentielles de la famille de logiciels malveillants Raspberry Robin. Il s’agit notamment de chevaux de Troie voleurs de données comme SocGholish, de balises Cobalt Strike, ainsi que de précurseurs pour des infections de réseaux d’entreprise par des ransomwares.
QUI SE CACHE DERRIÈRE LES ATTAQUES DE RASPBERRY ROBIN ?
Ces logiciels malveillants ont été associés à un nouveau groupe de cybercriminels connu sous le nom de Storm-0856, qui a des liens avec des gangs de ransomwares notoires basés en Russie, comme Evil Corp et Silence.
Les recherches de HP ont également révélé que la dernière version de Raspberry Robin effectue une série de vérifications pour valider son environnement avant de lancer l’étape suivante de l’infection. Il examine notamment le numéro de version de Windows, recherche les machines virtuelles utilisées dans l’analyse des logiciels malveillants et interrompt son processus si certains produits de sécurité sont détectés.
Si tous les contrôles sont réussis, Raspberry Robin configure alors les exclusions de Microsoft Defender pour supprimer les protections en mettant sur liste blanche l’ensemble du lecteur principal du système. Le logiciel malveillant dispose ainsi d’un accès non contrôlé à l’ensemble de l’appareil, tout en restant caché aux logiciels de sécurité de l’utilisateur.
Les développeurs de logiciels malveillants sont devenus de véritables experts pour élaborer des codes malveillants spécialement conçus pour déjouer la détection, même par les principaux fournisseurs d’antivirus. On vous parlait par exemple récemment d’un malware bien caché qui était passé inaperçu pendant pas moins de 5 ans avant d’être découvert par des chercheurs de Kaspersky.
