Archivo - Ciberseguridad. | PIXABAY - Archivo

TW
0

Los investigadores de Check Point Research han identificado una nueva versión del gusano Raspberry Robin, que explota vulnerabilidades de día cero y día uno, y cuenta con nuevas capacidades de evasión.

Raspberry Robin es un gusano que destaca por sus capacidades de evasión y por explotar principalmente vulnerabilidades de día uno, es decir, aquellas que ya cuentan con un parche si bien este puede que todavía no haya sido distribuido a todos los clientes o sistemas afectados.

Los investigadores de Red Canary lo identificaron por primera vez en 2021, y aunque no está claro quien lo ha creado, se ha vinculado con distintos grupos de ciberdelincuentes, entre los que se incluyen EvilCorp y TA505.

Habitualmente usan Raspberry Robin como un intermediario de acceso inicial, que aprovecha las vulnerabilidades para aumentar privilegios y facilitar la implementación de 'malware' adicional. La última versión cuenta con nuevas capacidades para evadir los sistemas de detección de 'malware', como explican desde Check Point Research en su blog oficial.

Así, puede seguir trabajando incluso si se apaga el sistema y comprobar si el ordenador es un escritorio remoto, pero también dejar de ejecutarse si detecta que hay un controlador de filtro de escritura unificado, que protege la integridad de un directorio al evitar cambios permanentes en el almacenamiento subyacente.

La versión más reciente identificada por los investigadores de Check Point Research utiliza la plataforma Discord para extenderse mediante archivos RAR maliciosos, aunque principalmente aprovecha controladores USB.

Aparte de usar los 'exploits' de día uno -para las vulnerabilidades de día uno-, también se ha identificado que la versión más reciente ha empleado un 'exploit' de día cero (para el que no hay parche) que se vendió en la 'dark web' medio año antes de que la vulnerabilidad se hiciera pública.

En cualquier caso, desde Check Point consideran que los creadores de Raspberry Robin no desarrollan los 'exploits', sino que los compran, porque se utilizan como ejecutable externo para 64-bit, solo son válidos para 64-bit y no están muy ofuscados.