Mauvaise nouvelle pour les utilisateurs de Windows, une nouvelle variante inquiétante du populaire malware Raspberry Robin est apparue. Selon les chercheurs, il est pratiquement indétectable par les principales solutions antivirus et de sécurité des points finaux.
La société de cybersécurité HP Wolf Security a révélé les détails de la nouvelle campagne de malware Raspberry Robin repérée en mars 2024. Ce dernier développement s’appuie sur Windows Script Files (WSF) pour récupérer et Déployez furtivement ses charges utiles malveillantes sur les systèmes infectés.
Selon l’analyse de HP, les fichiers WSF utilisent une série de tactiques d’évasion pour passer sous le radar des logiciels de sécurité et des efforts d’analyse des chercheurs en sécurité. Il s’agit notamment de l’arrêt de l’exécution si certains produits de sécurité comme Kaspersky ou Bitdefender sont détectés, ainsi que configurer les exclusions de Microsoft Defender pour empêcher l’analyse.
Lire aussi – Méfiez-vous de cet installateur Adobe, c’est faux et il cache des malwares dangereux
Les antivirus sont incapables de détecter les logiciels malveillants
Notamment, les scripts ne sont actuellement signalés comme malveillants par aucun moteur antivirus sur le multi-scanner de VirusTotal, qui permet au malware de se propager sans rencontrer de mesures défensives.
Raspberry Robin, également connu sous le nom de QNAP, est apparu pour la première fois en septembre 2021, se propageant via des périphériques USB malveillants. Mais ses auteurs ont depuis expérimenté de nouveaux vecteurs de diffusion, comme les campagnes d’ingénierie sociale. conduisant les victimes vers des domaines hébergeant des fichiers WSF compromis.
Lorsqu’ils sont exécutés sur un système Windows vulnérable, les scripts WSF peuvent récupérer un certain nombre de charges utiles potentielles de la famille de logiciels malveillants Raspberry Robin. Il s’agit notamment de chevaux de Troie voleurs de données comme SocGholish, des balises Cobalt Strike, ainsi que de précurseurs d’infections par ransomware des réseaux d’entreprise.
Qui est derrière les attaques Raspberry Robin ?
Ce malware a été lié à un nouveau groupe de cybercriminels connu sous le nom de Storm-0856, qui a des liens avec des gangs de ransomwares russes notoires comme Evil Corp et Silence.
Les recherches de HP ont également révélé que la dernière version de Raspberry Robin effectue une série de vérifications pour valider son environnement avant de lancer la prochaine étape de l’infection. Il examine notamment le numéro de version de Windows, recherche les machines virtuelles utilisées dans l’analyse des logiciels malveillants et interrompt son processus si certains produits de sécurité sont détectés.
Si toutes les vérifications réussissent, Raspberry Robin configure ensuite les exclusions de Microsoft Defender pour supprimer les protections en mettant sur liste blanche l’intégralité du lecteur système principal. Le malware a ainsi un accès incontrôlé à l’ensemble de l’appareil, tout en restant caché du logiciel de sécurité de l’utilisateur.
Les développeurs de logiciels malveillants sont devenus des experts dans la création de codes malveillants spécialement conçus pour échapper à la détection, même par les principaux fournisseurs d’antivirus. Par exemple, nous vous parlions récemment d’un malware bien caché qui était passé inaperçu pendant pas moins de 5 ans avant d’être découvert par les chercheurs de Kaspersky.
Il est donc plus que jamais recommandé de faire attention à ce que vous installez sur vos machines. Même s’ils ne parviennent pas pour l’instant à détecter ce nouveau malware, nous vous conseillons tout de même de choisir un antivirus en suivant notre guide des meilleurs logiciels gratuits pour Windows. Tous ne sont pas aussi efficaces les uns que les autres, il est donc préférable de cibler le logiciel qui correspond le mieux à vos besoins.
