El panorama de ciberseguridad enfrenta una amenaza persistente cuando Raspberry Robin, un sofisticado descargador de malware también conocido como RoshTyak, continúa su campaña contra los sistemas de Windows con capacidades mejoradas y técnicas de evasión.
Identificado por primera vez en 2021, este malware propagado por USB ha demostrado una notable resistencia y adaptabilidad, principalmente dirigida a entornos empresariales a través de dispositivos de almacenamiento removibles infectados.
El vector de infección de Raspberry Robin sigue siendo consistente con su estrategia de implementación original, aprovechando los dispositivos USB comprometidos para infiltrarse en redes objetivo.
Una vez ejecutado, el malware establece la persistencia e intenta comunicarse con la infraestructura de comando y control a través de las redes TOR.
Los nuevos consejos de pila ofuscados de Raspberry Robin (Fuente – ZScaler)
Los operadores del malware han refinado constantemente su enfoque, implementando métodos de ofuscación sofisticados que desafían los mecanismos de detección tradicionales y complican los esfuerzos de ingeniería inversa.
Investigadores de Zscaler identificado Cambios evolutivos significativos en la arquitectura de Raspberry Robin, particularmente señalando la integración de CVE-2024-38196, una explotación de escalada de privilegios local dirigido a la vulnerabilidad del controlador del sistema de registro común.
La ofuscación de Raspberry Robin para declaraciones condicionales (fuente – ZScaler)
Esta adición crítica permite al malware elevar sus privilegios en los sistemas comprometidos, lo que podría otorgar acceso a nivel de administrador para una infiltración de sistema más profunda.
La infraestructura de comunicación del malware ha sufrido modificaciones sustanciales, pasando del cifrado AES-CTR al algoritmo Chacha-20 más robusto para la protección de datos de red.
Algoritmo de corrección dinámica Raspberry Robin C2 (fuente – ZSCALER)
Este cambio de cifrado, combinado con valores de contadores y no CE por solicitud generados aleatoriamente, mejora significativamente la capacidad del malware para evadir los sistemas de detección basados en la red.
Mecanismos avanzados de ofuscación y persistencia
Las últimas variantes de Raspberry Robin incorporan técnicas de ofuscación sofisticadas diseñadas para frustrar los esfuerzos de análisis.
El malware ahora implementa bucles de inicialización múltiples dentro de las funciones con flujo de control aplanado, neutralizando efectivamente los intentos de descifrado de fuerza bruta que anteriormente tuvieron éxito contra versiones anteriores.
struct encryptionInfo {uint32_t nonce_part2; uint32_t nonce_part3; contador uint32_t; uint32_t nonce_part1; };
Además, el malware emplea punteros de pila ofuscados y declaraciones condicionales, interrumpiendo los procesos de descompilación estándar y requiere una intervención manual de analistas de seguridad para un análisis adecuado.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
