Malware Raspberry Robin Gunakan Malware Palsu Untuk Kelabui Peneliti
illustrasi
Cyberthreat.id – Peneliti keamanan siber dari TrendMicro mengungkapkan bahwa Malware Raspberry Robin sedsang melakukan beberapa tipu daya dengan menjatuhkan muatan palsu untuk membingungkan para peneliti dan menghindari deteksi ketika mendeteksi sedang dijalankan di dalam kotak pasir dan alat debugging.
Dikutip dari Bleeping Computer, peneliti mengatakan, Raspberry Robin adalah dropper malware mirip cacing yang menjual akses awal ke jaringan yang disusupi ke geng ransomware dan operator malware. Itu sebelumnya telah dikaitkan dengan FIN11 dan geng Clop, serta distribusi muatan Bumblebee, IcedID, dan TrueBot. Malware akan mencapai sistem yang ditargetkan melalui drive USB berbahaya yang menginfeksi perangkat dengan malware saat dimasukkan dan disertakan. File .LNK diklik dua kali.
“Saat pintasan dijalankan, pintasan tersebut menyalahgunakan Windows 'MSIExec.exe' yang sah untuk mengunduh penginstal MSI berbahaya yang menginstal muatan Raspberry Robin,” kata Peneliti.
Malware ini sangat disamarkan untuk menyembunyikan kodenya dari program antivirus dan peneliti keamanan, menampilkan banyak lapisan yang berisi nilai hard-coded untuk mendekripsi yang berikutnya. Namun, untuk mempersulit peneliti keamanan untuk menganalisis malware, Raspberry Robin telah mulai menjatuhkan dua muatan yang berbeda tergantung pada bagaimana perangkat dijalankan.
Jika malware mendeteksi itu berjalan di dalam kotak pasir, menunjukkan kemungkinan sedang dianalisis, pemuat menjatuhkan muatan palsu. Jika tidak, itu akan meluncurkan malware Raspberry Robin yang sebenarnya.
Muatan palsu ini menampilkan dua lapisan tambahan, kode shell dengan file PE tersemat dan file PE dengan header MZ dan tanda tangan PE dihapus. Setelah dijalankan, ia mencoba membaca registri Windows untuk menemukan penanda infeksi dan kemudian mulai mengumpulkan informasi sistem dasar.
Selanjutnya, payload palsu mencoba mengunduh dan menjalankan adware bernama 'BrowserAssistant', untuk mengelabui analis agar percaya bahwa ini adalah payload terakhir. Namun, pada sistem yang valid, muatan malware Raspberry Robin yang sebenarnya dimuat, yang menampilkan klien Tor khusus tertanam untuk komunikasi internal.
“Bahkan dengan tipuan payload, payload yang sebenarnya dikemas dengan sepuluh lapis kebingungan, membuatnya jauh lebih sulit untuk dianalisis,” kata peneliti.
Saat diluncurkan, ia memeriksa apakah pengguna adalah admin, dan jika bukan, ia menggunakan teknik eskalasi hak istimewa 'ucmDccwCOMMethod in UACMe' untuk mendapatkan hak istimewa administratif. Malware juga memodifikasi registri untuk persistensi antara reboot, menggunakan dua metode berbeda untuk setiap kasus (admin atau bukan).
"Setelah menghapus salinan dirinya sendiri, salinan yang dijatuhkan tersebut dijalankan sebagai Administrator menggunakan teknik bypass UAC (Kontrol Akun Pengguna),” tambah Trend Micro.
Saat proses itu, mereka menerapkan variasi teknik ucmDccwCOMMethod di UACMe, sehingga menyalahgunakan backdoor Windows AutoElevate bawaan. Setelah siap, malware mencoba untuk terhubung ke alamat Tor yang dikodekan keras dan membuat saluran pertukaran informasi dengan operatornya.
Proses klien Tor menggunakan nama yang meniru file sistem Windows standar seperti 'dllhost.exe', 'regsvr32.exe', dan 'rundll32.exe'. Khususnya, rutinitas utama berjalan di Sesi 0, sesi Windows khusus yang disediakan khusus untuk layanan dan aplikasi yang tidak memerlukan atau tidak memerlukan interaksi pengguna.
“Sebagai bagian dari proses infeksinya, Raspberry Robin juga akan menyalin dirinya ke drive USB yang terpasang untuk menginfeksi sistem lebih lanjut,” terang TrendMicro.
Analis Trend Micro berkomentar bahwa penambahan baru-baru ini dalam TTP Raspberry Robin (taktik, teknik, dan prosedur) memiliki kesamaan dengan LockBit, sehingga kedua proyek tersebut mungkin memiliki koneksi. Dua kesamaan utama menggunakan teknik kalibrasi ICM untuk eskalasi hak istimewa dan alat 'TreadHideFromDebugger' untuk anti-debugging.
Meskipun temuan ini penting, namun bukan merupakan bukti hubungan antara keduanya, namun dapat berfungsi sebagai tolok ukur dalam penelitian di masa mendatang. Kesimpulannya, Trend Micro mengatakan kampanye Raspberry Robin saat ini lebih merupakan upaya pengintaian untuk mengevaluasi keefektifan mekanisme baru daripada langkah awal dalam serangan yang sebenarnya.
