S'il a été découvert la première fois en 2021, Raspberry Robin ne représentait pas un risque trop important pour les particuliers. En effet, à l'époque, il ciblait exclusivement les entreprises IT ou les grands groupes industriels. Le vers particulièrement performant de par sa capacité à se rendre indétectable a récemment révisé ses ambitions à la hausse dernièrement.
Car depuis le mois de mars dernier, le groupe à l'origine du malware a décidé d'étendre son champ d'action et de cibler un panel plus large de victimes, s'attaquant ainsi aux PME mais aussi aux particuliers.
Pour se rendre plus efficace, Raspberry Robin est désormais diffusé avec Windows Script Files pour toucher plus de cibles, mais aussi pour parfaire un peu plus son travail dans l'ombre. Il devient donc plus complexe de le repérer et il peut se diffuser plus facilement sur les supports amovibles. Un volet supplémentaire à été ajouté à l'outil des hackers : il peut désormais neutraliser complètement Microsoft Defender.
Ce sont les chercheurs de HP Wolf Security qui ont repéré la nouvelle version du malware en mars 2024 et mis en lumière une efficacité redoutable à contourner les radars de la plupart des programmes antivirus, même les plus complexes.
Le scénario de l'attaque est le suivant : les hackers hébergent un fichier Windows Script File vérolé sur plusieurs sites Internet. Une campagne malveillante est ensuite lancée à base de phishing pour encourager les victimes à se rendre sur les sites en question. Une fois connecté, le fichier WSF s'exécute et récupère le .DLL du malware.
À partir de là, la nature de la menace est au bon gout des hackers qui peuvent envoyer un ransomware, un spyware, divers outils de backdoor ou d'espionnage comme BumbleBee, TrueBot, Cobalt Strike, IcedID... Divers modules permettent de contourner les antivirus en place, notamment un scanner qui étudie la configuration de la machine de la victime pour adapter la charge malicieuse à installer et le protocole à mettre en place pour désactiver les alarmes antivirales.
Raspberry Robin va jusqu'à désactiver Microsoft Defender en créant des exclusions et des listes blanches pour permettre l'installation de malwares.
Actuellement ,aucune parade concrète n'est disponible pour contrer le malware. Restent donc les conseils habituels : évitez de cliquer directement sur des liens provenant d'emails douteurs et préférez la recherche directe des sites et pages depuis les moteurs de recherche.
