Nieuwe malware kan Microsoft Defender omzeilen
De eerste activiteiten van de Raspberry Robin-malware werden in 2021 ontdekt. Sindsdien heeft het malwarepakket zich meermaals ontwikkeld. Beveiligingsonderzoekers van HP Wolf Security kwamen in maart een nieuwe versie van de malware op het spoor. Opmerkelijk is hoe de malware in staat is om Microsoft Defender te omzeilen. Andere beveiligingssoftware wordt juist vermeden.
Anti-analyse en VM-analyse
Dat heeft te maken met de wijze waarop de Raspberry Robin-malware functioneert. Voordat er een pc wordt geïnfecteerd met malware, wordt een reeks analyses uitgevoerd. Zo wordt onderzocht of de pc een Virtual Machine is. Ook wordt er gekeken naar de Windows-versie: als die ouder is dan december 2017, wordt de malware niet geïnstalleerd. Dit geldt ook voor Windows-pc’s waarop antivirussoftware van Avast, Avira, Bitdefender, Check Point, ESET of Kaspersky draait.
Microsoft Defender
Er is één beveiligingsprogramma waar de aanvallers geen moeite mee hebben: Microsoft Defender. Het lukt Raspberry Robin in de analysefase namelijk om exclusieregels in te stellen. Die regels zorgen ervoor dat de malware die later wordt geïnstalleerd, niet door de scanners wordt gedetecteerd. Dat zorgt ervoor dat de aanvallers vrij spel hebben.
Welke malware of ransomware wordt geïnstalleerd, hangt af van de situatie en mogelijk de hackers die de aanval uitvoeren. De onderzoekers wisten te achterhalen dat de hackers bij de aanvallen in de voorgaande maanden werkten met payload-bestanden voor SocGholish, Cobalt Strike, IcedID, BumbleBee en TrueBot. Dit kan continu wijzigen: de malware wordt namelijk pas gedownload als uit analyses blijkt dat de aanval succesvol kan zijn.
Windows Script Files
Opmerkelijk is dat geen enkele antivirusscanner de aanval kan herkennen. “De scripts zelf zijn momenteel niet geclassificeerd als kwaadaardig door antivirusscanners op VirusTotal, wat de ontwijkbaarheid van de malware aantoont en het risico dat het een ernstige infectie veroorzaakt met Raspberry Robin”, schrijven de onderzoekers.
Met ‘scripts’ doelen ze op de Windows Script Files die gebruikt worden voor de analyse. Gezien de aanvallers continu hun scripts aanpassen en deze op diverse geïnfecteerde websites plaatsen, is de aanval lastig te stoppen.