El malware Raspberry Robin ha dado un paso más en su evolución, adoptando estrategias más sofisticadas y aprovechando vulnerabilidades de día cero en sistemas Windows.
Estos exploits, conocidos como exploits de un día, hacen referencia a código que aprovecha una vulnerabilidad recientemente parcheada por el desarrollador del software afectado, pero cuya corrección aún no se ha implementado en todos los sistemas vulnerables.
Desde el momento en que el proveedor revela la vulnerabilidad, lo que generalmente se acompaña con la publicación de un parche, los actores de amenazas se apresuran a crear un exploit y utilizarlo antes de que la solución se propague a una gran cantidad de sistemas. Esto es precisamente lo que ha hecho Raspberry Robin, según un informe reciente de Check Point.
Antecedentes de Raspberry Robin
Raspberry Robin es un gusano que fue identificado por primera vez por Red Canary, una empresa de detección y respuesta gestionada, en 2021. Se propaga principalmente a través de dispositivos de almacenamiento extraíbles como unidades USB para establecer un punto de apoyo en los sistemas infectados y facilitar el despliegue de cargas útiles adicionales.
Desde su descubrimiento, Raspberry Robin ha evolucionado continuamente, agregando nuevas características, técnicas de evasión y adoptando varios métodos de distribución. Por ejemplo, una de las tácticas de evasión que implementó fue dejar caer cargas útiles falsas para confundir a los investigadores.
Explotación de Vulnerabilidades de Día Uno
Cuando Raspberry Robin se ejecuta por primera vez en una computadora, automáticamente intentará elevar privilegios en el dispositivo utilizando una variedad de exploits de día cero.
En campañas recientes, Raspberry Robin ha aprovechado exploits para CVE-2023-36802 y CVE-2023-29360, dos vulnerabilidades de escalada de privilegios locales en Microsoft Streaming Service Proxy y el controlador de dispositivos Windows TPM.
Mecanismos de Evasión y Avances Recientes
El informe de Check Point también destaca varios avances en las últimas variantes de Raspberry Robin, que incluyen nuevos mecanismos de evasión, análisis y movimientos laterales.
Relacionado
5 Pasos para Mejorar la Seguridad en Microsoft Teams En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!
Abusan de la Nerramienta “Comando no Encontrado” en Ubuntu para Propagar Malware Una falla lógica entre el sistema de sugerencia de paquetes de 'comando no encontrado' de Ubuntu y el repositorio de paquetes instantáneos podría permitir a los atacantes promocionar paquetes de Linux maliciosos entre usuarios desprevenidos. El problema surge de la capacidad de la utilidad para sugerir paquetes instantáneos para la instalación cuando faltan sin un mecanismo de validación para garantizar que los paquetes sean auténticos y ¡SEGUIR LEYENDO!
ClamAV: El antivirus de código abierto para detectar troyanos, virus, malware, etc ClamAV es un motor antivirus de código abierto para detectar troyanos, virus, malware y otras amenazas maliciosas. ClamAV es un código abierto (GPL) motor anti-virus utilizado en una variedad de situaciones, incluyendo análisis de correo electrónico, la exploración web, y la seguridad de punto final. ClamAV proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de comandos y ¡SEGUIR LEYENDO!
Anuncios de Facebook Impulsa el Nuevo Malware de Robo de Contraseñas Ov3r_Stealer Un nuevo malware para robar contraseñas llamado Ov3r_Stealer se está propagando a través de anuncios de trabajo falsos en Facebook, con el objetivo de robar credenciales de cuentas y criptomonedas. Los anuncios de trabajo falsos son para puestos gerenciales y llevan a los usuarios a una URL de Discord donde un script de PowerShell descarga la carga útil del malware desde un repositorio de GitHub. Los ¡SEGUIR LEYENDO!
Aplicaciones de Android Plagadas de Malware detectadas en Google Play Un troyano de acceso remoto (RAT) de Android llamado VajraSpy fue encontrado en 12 aplicaciones maliciosas, seis de las cuales estuvieron disponibles en Google Play desde el 1 de abril de 2021 hasta el 10 de septiembre de 2023. Descubrimiento del malware El investigador de ESET, Lukas Stefanko, identificó 12 aplicaciones maliciosas para Android que contenían el mismo código RAT VajraSpy. Sorprendentemente, seis de estas aplicaciones ¡SEGUIR LEYENDO!