Detecção de Malware Raspberry Robin: Versão Aprimorada Similiar a Worm Atacando Instituições Financeiras Europeias

[post-views]
Janeiro 11, 2023 · 4 min de leitura
Detecção de Malware Raspberry Robin: Versão Aprimorada Similiar a Worm Atacando Instituições Financeiras Europeias

Independentemente da época festiva, os adversários não tiram férias na invenção de novos truques maliciosos para atacar vítimas desavisadas. Na semana passada, pesquisadores de segurança descobriram uma variante aprimorada do malware do tipo worm Raspberry Robin, utilizado para atacar empresas financeiras e de seguros em países europeus. Especialistas destacam especificamente que o Rasperry Robin recebeu uma atualização significativa, incluindo ofuscação complexa e recursos anti-análise, mecanismo de download sofisticado e capacidades de criptografia de dados, entre outros.

Detectar o Malware Raspberry Robin

A mais recente atualização do Raspberry Robin é um alerta para profissionais de segurança globalmente. Este framework malicioso é considerado uma das maiores plataformas de distribuição de malware do setor, amplamente adotado por operadores de ransomware e outros atores financeiros de motivação.

Para ajudar os profissionais de segurança a se defenderem proativamente contra intrusões potenciais, a plataforma Detection as Code da SOC Prime oferece um conjunto de regras Sigma dedicadas para detectar o Raspberry Robin, incluindo aquelas para identificar atividades maliciosas relacionadas à mais recente versão do malware.

Clique nos Explorar Detecções botões abaixo para acessar a lista completa de conteúdo de detecção relevante, acompanhada por metadados extensivos e referências CTI. Todo o conteúdo de detecção é compatível com mais de 25 soluções SIEM, EDR, BDP e XDR e está mapeado para o framework MITRE ATT&CK® v12.

Explorar Detecções

Raspberry Robin Worm: Análise do Malware Atualizado Usado nas Últimas Campanhas

Raspberry Robin backdoor projetado como carregador de malware é um worm que infecta sistemas alvo via dispositivos USB trojanizados. O malware foi detectado no cenário de ameaças cibernéticas desde meados de maio de 2022, expandindo continuamente o escopo de seus ataques e evoluindo as cepas maliciosas com novas variantes surgindo na cena. Em julho de 2022, pesquisadores de cibersegurança da Microsoft ligaram o backdoor do Raspberry Robin ao coletivo de hackers apoiado pela Rússia, rastreado como Evil Corp, que estava por trás de ataques cibernéticos contra instituições financeiras, espalhando malware Dridex. O Raspberry Robin tem sido considerado um malware vinculado ao Evil Corp devido à sua estranha semelhança com o carregador de malware Dridex. malware. Raspberry Robin has been considered Evil Corp-linked malware due to its striking resemblance to the Dridex malware loader.

Na virada de 2022, pesquisadores de cibersegurança descobriram padrões de comportamento complexos associados à distribuição do Raspberry Robin, que envolviam tentativas maliciosas de soltar uma carga útil fraudulenta para evitar a detecção. Essa nova tática adversária foi aplicada em uma das mais recentes campanhas do Raspberry Robin, mirando empresas de telecomunicações e entidades governamentais.

As versões mais recentes do backdoor do tipo worm utilizam técnicas avançadas de ofuscação para dificultar a análise anti-malware, o que apresenta novos desafios para os defensores cibernéticos. Pesquisadores de cibersegurança indicam que hackers agora estão aproveitando a versão mais sofisticada do Raspberry Robin em suas últimas campanhas maliciosas que miram organizações financeiras baseadas em língua espanhola e portuguesa. De acordo com o relatório da Security Joes, a variante de malware atualizada permite que os agentes de ameaça aproveitem as capacidades pós-infecção para evasão de detecção, mover-se lateralmente e explorar as infraestruturas na nuvem de serviços e plataformas da web populares, incluindo Discord, Azure e GitHub.

A versão mais recente do framework envolve capacidades mais avançadas com pelo menos cinco camadas de proteção antes da implementação do código malicioso. A iteração mais recente do malware também aplica uma carga útil robusta criptografada por RC4 para o sinal de C2, que substituiu uma versão anterior menos complexa.

O fato de os operadores do Raspberry Robin terem começado a coletar informações sobre suas vítimas exacerba os riscos de ataques de malware potenciais. A sofisticação aumentada da versão mais recente do backdoor e suas capacidades ofensivas constantemente aprimoradas requerem uma ultra-responsividade dos defensores. Para se defender proativamente contra todos os ataques relacionados, os especialistas em segurança são bem-vindos a acessar uma lista abrangente de regras Sigma para detectar Dridex que apresenta múltiplas semelhanças com o Raspberry Robin em termos de estrutura e funcionalidade do malware.

 

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade 7 min de leitura Ameaças Mais Recentes Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade by Veronika Telychko Inteligência de Ameaças com IA 17 min de leitura SIEM & EDR Inteligência de Ameaças com IA by Veronika Telychko CyberLock, Lucky_Gh0$t e Detecção de Numero: Hackers Armem Instaladores Falsos de Ferramentas de IA em Ataques de Ransomware e Malware 8 min de leitura Ameaças Mais Recentes CyberLock, Lucky_Gh0$t e Detecção de Numero: Hackers Armem Instaladores Falsos de Ferramentas de IA em Ataques de Ransomware e Malware by Veronika Telychko
Todas as notícias