Sektor keuangan dan asuransi di Eropa telah menjadi sasaran worm Raspberry Robin, karena malware terus mengembangkan kemampuan pasca-eksploitasi sambil tetap berada di bawah radar.
Raspberry Robin, juga disebut worm QNAP, digunakan oleh beberapa pelaku ancaman sebagai sarana untuk mendapatkan pijakan ke dalam jaringan target. Menyebar melalui drive USB yang terinfeksi dan metode lainnya, kerangka tersebut baru-baru ini digunakan dalam serangan yang ditujukan pada sektor telekomunikasi dan pemerintah.
Microsoft melacak operator Raspberry Robin di bawah moniker DEV-0856.
Investigasi forensik Security Joes terhadap salah satu serangan tersebut telah mengungkapkan penggunaan file 7-Zip, yang diunduh dari browser korban melalui rekayasa sosial dan berisi file penginstal MSI yang dirancang untuk menghapus beberapa modul.
Dalam contoh lain, file ZIP dikatakan telah diunduh oleh korban melalui iklan penipuan yang dihosting di domain yang diketahui mendistribusikan adware.
File arsip, disimpan di server Discord, berisi kode JavaScript yang disandikan yang, setelah dieksekusi, menjatuhkan pengunduh yang dilindungi dengan banyak lapisan penyamaran dan enkripsi untuk menghindari deteksi.
Pengunduh kode shell terutama direkayasa untuk mengambil executable tambahan, Ini melibatkan pengumpulan Pengidentifikasi Unik Universal (UUID) host, dalam beberapa kasus bahkan beralih ke bentuk tipu daya dengan menyajikan malware palsu.
Data pengintaian kemudian dienkripsi menggunakan kunci berkode keras dan dikirim ke server perintah-dan-kontrol (C2), yang merespons kembali dengan biner Windows yang kemudian dijalankan di mesin.
sumber : the hacker news
