Patrick Schläpfer, nhà nghiên cứu bảo mật của HP Wolf Security cho biết: “Trong lịch sử, Raspberry Robin được lây nhiễm qua các phương tiện di động như ổ USB, nhưng theo thời gian, tội phạm mạng đã thử nghiệm các phương tiện lây nhiễm khác”.

Raspberry Robin, còn được gọi là sâu QNAP, được phát hiện lần đầu tiên vào tháng 9/2021. Trong những năm gần đây, QNAP đã phát triển thành trình tải xuống cho nhiều payload (tải trọng) khác như SocGholish, Cobalt Strike, IcedID, BumbleBee và TrueBot, đồng thời nó là tiền thân của phần mềm tống tiền.

Mặc dù ban đầu, phần mềm độc hại được phát tán qua các thiết bị USB chứa tệp LNK lấy payload từ thiết bị QNAP bị xâm nhập, nhưng sau đó nó đã áp dụng các phương pháp khác như kỹ thuật xã hội và quảng cáo độc hại. QNAP được cho là do một nhóm mối đe dọa mới nổi có tên là Storm-0856, có liên kết với hệ sinh thái tội phạm mạng rộng lớn hơn, bao gồm cả các nhóm như Evil Corp, Silence và TA505.

Xu hướng phát tán mới nhất sử dụng các tệp tin WSF được cung cấp để tải xuống qua nhiều tên miền và tên miền phụ (subdomain) khác nhau. Hiện tại vẫn chưa rõ những kẻ tấn công điều hướng nạn nhân đến các URL này bằng cách nào, mặc dù được cho là có thể thông qua các chiến dịch spam hoặc quảng cáo độc hại.

Tệp tin WSF bị xáo trộn có chức năng như một trình tải xuống để truy xuất payload DLL chính từ máy chủ từ xa bằng cách sử dụng lệnh curl command. Nó sẽ không thực thi nếu phiên bản của hệ điều hành Windows thấp hơn 17063 (được phát hành vào tháng 12 năm 2017) và các quy trình đang chạy có các quy trình chống vi-rút được liên kết với Avast, Avira, Bitdefender, Check Point, ESET và Kaspersky.

HP cho biết: “Bản thân các tập lệnh hiện không được trình quét vi-rút VirusTotal xếp vào là độc hại. Điều này chứng tỏ khả năng lẩn tránh và nguy cơ lây nhiễm nghiêm trọng của phần mềm độc hại Raspberry Robin. Trình tải xuống WSF bị xáo trộn nghiêm trọng và sử dụng nhiều kỹ thuật phân tích cho phép phần mềm độc hại trốn tránh sự phát hiện và làm chậm quá trình phân tích”./.

TH