Fin 2021, un redoutable malware visant les ordinateurs Windows a fait son apparition. Baptisé Raspberry Robin, le virus s’est d’abord attaqué aux réseaux d’entreprises. Grâce au logiciel malveillant, les cybercriminels sont parvenus à déployer de dangereux virus sur les machines de plusieurs organisations. Raspberry Robin fait partie de la catégorie des loaders. Il est uniquement conçu pour préparer le terrain pour que d’autres types de malwares, comme des virus, des rançongiciels ou des logiciels espions, puissent être déployés et exécutés.
À lire aussi : cette nouvelle cyberattaque montre qu’il ne faut surtout pas recycler ses mots de passe
Des scripts malveillants
Initialement, Raspberry Robin se propageait à l’ancienne par le biais d’une clé USB. Malheureusement, une nouvelle version du malware vient d’être identifiée par les chercheurs de HP Threat Research. Cette nouvelle itération se propage sur Internet par le biais de fichiers Windows Script Files (WSF) vérolés. Massivement utilisés dans l’environnement Windows, ces scripts permettent d’automatiser des tâches sur un ordinateur.
« Ces fichiers sont largement utilisés par les administrateurs et les logiciels légitimes pour automatiser les tâches au sein de Windows, mais peuvent également être utilisés à mauvais escient » explique HP Threat Research dans son rapport.
Pour propager le loader, les pirates ont glissé un fichier Windows Script Files (WSF) sur des sites web malveillants. Une fois que le piège a été tendu, ils persuadent la victime de se rendre sur le site avec des tactiques de phishing classiques ou des campagnes publicitaires. Ils demandent ensuite à la cible de télécharger le script sur son ordinateur. C’est là que le piège se referme. Comme l’explique HP Threat Research, les méthodes exactes employées par les hackers sont encore inconnues.
Comment le malware berne-t-il les antivirus ?
Notez que les criminels ont pris soin d’obscurcir le code du script malveillant pour échapper aux mécanismes de sécurité. Comme l’expliquent les chercheurs, le code est émaillé d’une foule de caractères illisibles. Ceux-ci « servent de distraction pour cacher le script réel et potentiellement convaincre quiconque inspecte le fichier qu’il ne s’agit pas du tout d’un fichier de script ».
Une fois installé sur la machine ciblée, Raspberry Robin va mettre en œuvre d’autres tactiques pour échapper à la vigilance des antivirus. Le loader va en effet scanner l’ordinateur pour découvrir si des antivirus y ont été installés. Si c’est le cas, il va suspendre son exécution pour éviter d’être repéré. D’après l’enquête réalisée, des solutions comme Kaspersky, ESET, Check Point, Avast et Avira peuvent être identifiés par le ver informatique. Raspberry Robin va tout simplement attendre que l’antivirus ne soit plus en cours d’exécution, pendant une mise à jour par exemple, pour passer à l’action.
Par ailleurs, Raspberry Robin a aussi trouvé le moyen d’échapper à Microsoft Defender, l’antivirus par défaut de Windows. Le ver va configurer Microsoft Defender pour qu’il ignore certaines zones du système lors de ses analyses. Pour y parvenir, il va ajouter une exception spécifiant que certaines parties du système ne doivent pas être scannées. L’exception demande à Microsoft Defender de ne pas analyser le lecteur principal de l’ordinateur, souvent désigné par la lettre C. De facto, tous les fichiers, dossiers et programmes situés sur ce lecteur ne seront pas examinés lors des analyses antivirus régulières. À partir de là, le virus dispose d’un libre accès à la machine à l’insu des antivirus.
Raspberry Robin va alors télécharger, installer et exécuter des logiciels malveillants tels que SocGholish, Cobalt Strike, IcedID, BumbleBee et Truebot. Ces virus sont notamment capables de contrôler à distance un système infecté ou de dérober des données personnelles, comme des coordonnées bancaires. Par ailleurs, le loader est aussi exploité par des gangs spécialisés dans les ransomwares.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : HP
