Raspberry Robin revient, et il est encore plus méchant © rafapress / Shutterstock
Raspberry Robin revient, et il est encore plus méchant © rafapress / Shutterstock

Le malware Raspberry Robin évolue et se propage désormais avec les fichiers de script Windows en contournant notamment Microsoft Defender.

Identifié pour la première fois fin 2021, Raspberry Robin est un malware qui ciblait initialement les grandes entreprises IT ou les industries, et qui continue de faire trembler la plupart des organisations.

Mais en mars 2024, il semble que les hackers aient décidé de le propager plus largement. Ainsi fut dit, ainsi fut fait, et désormais Raspberry Robin est diffusé avec Windows Script Files (WSF), ce qui le rend encore plus difficile à identifier. Et si traditionnellement, Raspberry Robin était réputé pour se diffuser avec des supports amovibles comme les clés USB, aujourd'hui, la technique utilisée par les hackers est aussi astucieuse que ravageuse. Et en ligne de mire, Microsoft Defender, qu'il réussissent à neutraliser.

L'ingéniosité de Raspberry Robin : déjouer les antivirus

La dernière version de Raspberry Robin, découverte par les chercheurs en cybersécurité de HP Wolf Security en mars 2024, a démontré une capacité remarquable à éviter certains programmes antivirus. Très ingénieux, les hackers hébergent un fichier Windows Script Files (WSF) fortement obscurci sur différents sites internet. Ils tendent ensuite les classiques pièges de phishing ou de fausses publicités pour inciter leurs victimes à visiter ces URL vérolées par le fichier WSF.

Lorsque ce fichier WSF est exécuté, il récupère le .DLL principal du malware. Les charges utiles sont variées, allant du simple ransomware à d'autres programmes plus vicieux tels que SocGholish, Cobalt Strike, IcedID, BumbleBee et TrueBot. Cette nouvelle version de Raspberry Robin se distingue par sa capacité à contourner les programmes antivirus. Avant de télécharger la charge utile principale, le malware exécute une série d'analyses pour déterminer le type d'environnement dans lequel il est activé.

Raspberry Robin peut déjouer votre antivirus © Rawpixel.com / Shutterstock
Raspberry Robin peut déjouer votre antivirus © Rawpixel.com / Shutterstock

La menace de Raspberry Robin plane sur Microsoft Defender

Par ailleurs, les études de HP ont démontré que la dernière version de Raspberry Robin réalise une série de contrôles pour authentifier son environnement avant de passer à la phase suivante de l'infection. Il vérifie notamment la version de Windows, recherche les machines virtuelles utilisées pour l'analyse des malwares et stoppe son processus si certains produits de sécurité sont identifiés.

Si tous les contrôles sont passés avec succès, Raspberry Robin configure alors les exclusions de Microsoft Defender pour éliminer les protections en ajoutant l'intégralité du lecteur principal du système à la liste blanche. Le malware obtient ainsi un accès sans restriction à tout l'appareil, tout en restant invisible pour les logiciels de sécurité de l'utilisateur.

Microsoft Defender
  • Moteur de détection de dernière génération efficace et discret
  • Intégration dans Windows 10 et Windows 11
  • Pare-feu
8 / 10
Télécharger
Lire le test

Source : HP Treat Research