Home Sociedad Raspberry Robin adopta técnicas de evasión únicas

Raspberry Robin adopta técnicas de evasión únicas

Se ha observado que los actores de amenazas que utilizan el malware Raspberry Robin adoptan técnicas de evasión únicas para evitar ser detectados.

Los investigadores de seguridad de Check Point Research (CPR) publicaron el martes un nuevo aviso en el que describen las novedosas características del malware y cómo los defensores pueden proteger los sistemas contra ellas.

Varios de los nuevos métodos que utiliza Raspberry Robin están relacionados con su capacidad para evitar ejecutarse en máquinas virtuales (VM), que los investigadores de seguridad suelen utilizar para analizar el malware. Esto dificulta a los defensores el estudio de la herramienta. En el aviso se ofrecen detalles técnicos para defenderse de ellos.

Raspberry Robin también añadió otras técnicas de evasión en muchas fases de su funcionamiento. CPR analizó dos nuevos exploits que el malware utilizaba para obtener mayores privilegios en los sistemas infectados.

El primero de ellos (CVE-2020-1054) se aprovecha de un error en el objeto de ventana win32k, lo que le permite escribir datos fuera de los límites previstos. El exploit sólo es utilizado por Raspberry Robin en sistemas Windows 7.

El segundo exploit (CVE-2021-1732) es similar desde un punto de vista técnico, pero se dirige a sistemas Windows 10 con números de compilación específicos y comprueba si está presente un parche concreto. Yosef escribió que este exploit fue utilizado en el pasado como un día cero por el grupo Bitter APT.

Raspberry Robin implementó otros trucos y exploits geniales que demuestran que también tiene capacidades en el área de explotación”, agregó el investigador de seguridad. “Desafortunadamente, el mundo de las evasiones solo se está volviendo más difícil y creativo, así que abróchate el cinturón y reza para que alguien ya se haya encontrado con esta evasión antes que tú.