Le malware Raspberry Robin évolue et se propage désormais avec les fichiers de script Windows en contournant notamment Microsoft Defender.
Identifié pour la première fois fin 2021, Raspberry Robin est un malware qui ciblait initialement les grandes entreprises IT ou les industries, et qui continue de faire trembler la plupart des organisations.
Mais en mars 2024, il semble que les hackers aient décidé de le propager plus largement. Ainsi fut dit, ainsi fut fait, et désormais Raspberry Robin est diffusé avec Windows Script Files (WSF), ce qui le rend encore plus difficile à identifier. Et si traditionnellement, Raspberry Robin était réputé pour se diffuser avec des supports amovibles comme les clés USB, aujourd’hui, la technique utilisée par les hackers est aussi astucieuse que ravageuse. Et en ligne de mire, Microsoft Defender, qu’il réussissent à neutraliser.
L’ingéniosité de Raspberry Robin : déjouer les antivirus
La dernière version de Raspberry Robin, découverte par les chercheurs en cybersécurité de HP Wolf Security en mars 2024, a démontré une capacité remarquable à éviter certains programmes antivirus. Très ingénieux, les hackers hébergent un fichier Windows Script Files (WSF) fortement obscurci sur différents sites internet. Ils tendent ensuite les classiques pièges de phishing ou de fausses publicités pour inciter leurs victimes à visiter ces URL vérolées par le fichier WSF.
Lorsque ce fichier WSF est exécuté, il récupère le .DLL principal du malware. Les charges utiles sont variées, allant du simple ransomware à d’autres programmes plus vicieux tels que SocGholish, Cobalt Strike, IcedID, BumbleBee et TrueBot. Cette nouvelle version de Raspberry Robin se distingue par sa capacité à contourner les programmes antivirus. Avant de télécharger la charge utile principale, le malware exécute une série d’analyses pour déterminer le type d’environnement dans lequel il est activé.