O malware Raspberry Robin está inovando na forma de conseguir dados. Atualmente, eles estão lançando uma carga falsa para confundir os pesquisadores, e assim evitar ser detectado ao executar arquivos em sandboxes e ferramentas de depuração.
Esta nova tática foi observada por pesquisadores da Trend Micro, empresa multinacional de cibersegurança. O Raspberry é um malware semelhante a um worm que vende o acesso inicial a rede comprometida para gangues de ransomware. Essa tática foi observada sendo utilizada de maneira frequente em canais de telecomunicação e sistemas governamentais.
Leia mais:
- Gerenciador de senhas é seguro? LastPass sofre novo vazamento de dados
- Apple anuncia novos e avançados recursos para proteção de dados
- Ataque zumbi no Android! Campanha de malware invade dispositivos e rouba dados
O malware entra nos dispositivos por meio de uma unidade USB maliciosa que os infectam com um arquivo .LNK, que é inserido e incluído ao ser clicado duas vezes. Quando o atalho é executado ele abusa do executável legítimo do Windows ‘MSIExec.exe’ para baixar um instalador MSI malicioso que instala as cargas úteis do Raspberry Robin, segundo o Bleeping Computer.
Problemas em dobro
O malware precisa estar muito bem infiltrado para conseguir ocultar seus códigos de programas antivírus e pesquisadores. Por isso, ele contém diversas camadas com valores codificados para conseguir se manter invisível.
Para não ser identificado, o Raspberry Robin começou a descartar duas cargas úteis diferentes, dependendo de como está sendo executado no dispositivo. Se o malware detectar que está sendo executado dentro de uma sandbox, indicando que provavelmente está sendo analisado, o carregador descarta uma carga útil falsa. Caso contrário, ele iniciará o malware Raspberry Robin real.
“Depois de descartar uma cópia de si mesmo, ele executa a cópia descartada como administrador usando uma técnica de desvio do UAC (controle de conta do usuário)”, explica a Trend Micro sobre o processo de escalonamento de privilégios. “Ele implementa uma variação da técnica ucmDccwCOMMethod no UACMe, abusando assim do backdoor integrado do Windows AutoElevate.”
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Tags: