ACTUALIDADnoticias de informaticaNoticias de tecnologia

Nueva campaña de Raspberry Robin: Windows Defender no te protege

Desde Marzo de este año, investigadores de HP Wolf Security descubrieron una nueva versión de Raspberry Robin – también conocida como QNAP Worm – que es especialmente escurridiza con los programas antivirus.

El virus Raspberry Robin supera las barreras de Windows Defender

Las primeras versiones de Raspberry Robin, se detectaron ya en Septiembre de 2021, propagándose a través de dispositivos de almacenamiento extraíbles como memorias USB, pero ahora el sistema de propagación pasa por el alojamiento de archivos de script de Windows (WSF) modificados en diferentes sitios web.

Después a través de intentos de phising, ingeniería social o publicidad engañosa, las víctimas son redirigidas a estos sitios para su infección. Una vez infectado el sistema el archivo WSF funciona como un descargador de la DLL principal en un servidor remoto.

Pero aquí es donde encontramos ciertas particularidades: la primera de ellas es que este gusano realiza una serie de evaluaciones para determinar si se está ejecutando en un entorno virtualizado.

También está diseñado para terminar la ejecución si el número de compilación del sistema operativo Windows es inferior a 17063 (que se lanzó en diciembre de 2017) y si la lista de procesos en ejecución incluye procesos antivirus asociados con Avast, Avira, Bitdefender, Check Point, ESET y Kaspersky, no ejecutándose si el sistema tiene instalados esos antivirus.

Lo curioso del mismo es que si se ejecuta en sistemas Windows 10/Windows 11 con el antivirus Microsoft Windows Defender, donde crea reglas para autoexcluirse del análisis de este antivirus, por lo que no protege al sistema.

Por último los scripts en sí mismos tampoco están clasificados como maliciosos por ningún analizador de virus en VirusTotal, lo que demuestra una vez más la evasividad de este malware.

A través de
ThehackerNews

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba