Nieuwe malwarecampagne verspreidt zich via WSF-bestanden

Cybersecurity-onderzoekers hebben sinds maart 2024 een nieuwe Raspberry Robin-campagne ontdekt die de malware verspreidt via kwaadaardige Windows Script Files (WSF’s).

“Historisch gezien stond het bekend dat Raspberry Robin zich verspreidde via verwijderbare media zoals USB-drives, maar in de loop van de tijd hebben de distributeurs geëxperimenteerd met andere initiële infectievectoren”, zei HP Wolf Security-onderzoeker Patrick Schläpfer in een rapport gedeeld met The Hacker News.

Raspberry Robin, ook wel QNAP-worm genoemd, werd voor het eerst opgemerkt in september 2021 en is sindsdien uitgegroeid tot een downloader voor verschillende andere payloads, zoals SocGholish, Cobalt Strike, IcedID, BumbleBee en TrueBot, en dient ook als voorloper voor ransomware.

Cyberbeveiliging

Hoewel de malware aanvankelijk werd verspreid via USB-apparaten die LNK-bestanden bevatten die de lading van een gecompromitteerd QNAP-apparaat ophaalden, heeft het sindsdien andere methoden overgenomen, zoals social engineering en malvertising.

Het wordt toegeschreven aan een opkomend dreigingscluster dat door Microsoft wordt gevolgd als Storm-0856, dat links heeft naar het bredere ecosysteem van cybercriminaliteit, bestaande uit groepen als Evil Corp, Silence en TA505.

De nieuwste distributievector omvat het gebruik van WSF-bestanden die via verschillende domeinen en subdomeinen ter download worden aangeboden.

Het is momenteel niet duidelijk hoe de aanvallers hun slachtoffers naar deze URL's leiden, hoewel vermoed wordt dat dit via spam- of malvertisingcampagnes kan gebeuren.

Het zwaar versluierde WSF-bestand functioneert als een downloader om de belangrijkste DLL-payload op te halen van een externe server met behulp van de curl-opdracht, maar niet voordat een reeks anti-analyse- en anti-virtuele machine-evaluaties zijn uitgevoerd om te bepalen of het wordt uitgevoerd in een gevirtualiseerde omgeving.

Het is ook ontworpen om de uitvoering te beëindigen als het buildnummer van het Windows-besturingssysteem lager is dan 17063 (uitgebracht in december 2017) en als de lijst met actieve processen antivirusprocessen bevat die zijn gekoppeld aan Avast, Avira, Bitdefender, Check Point, ESET en Kaspersky.

Cyberbeveiliging

Bovendien configureert het de uitsluitingsregels van Microsoft Defender Antivirus in een poging detectie te omzeilen door de volledige hoofdschijf aan de uitsluitingslijst toe te voegen en te voorkomen dat deze wordt gescand.

“De scripts zelf worden momenteel door geen enkele virusscanner op VirusTotal als schadelijk geclassificeerd, wat de ontwijking van de malware aantoont en het risico dat deze een ernstige infectie met Raspberry Robin veroorzaakt”, aldus HP.

“De WSF-downloader is zwaar versluierd en gebruikt veel analysetechnieken waardoor de malware detectie kan omzeilen en de analyse kan vertragen.”

Thijs Van der Does