Une nouvelle version du malware Raspberry Robin, également connu sous le nom de QNAP Worm, se diffuse actuellement via des campagnes de phishing. Cette déclinaison déjoue les tentatives de détection de Microsoft Defender par une redoutable technique.
Le défilé des malwares sur Windows 10 et 11 continue. Fin mars, c’était le dangereux malware Agent Tesla qui se propageait via une campagne de phishing. Parfois, ce sont de vieux virus qui reviennent pour un tour de piste. C’est notamment le cas de Raspberry Robin, également connu sous le nom de QNAP Worm, qui se montre aujourd’hui dans une redoutable nouvelle version capable de déjouer Windows Defender.
Le virus Raspberry Robin déjoue les barrières de Windows Defender
Les chercheurs en cybersécurité de HP Wolf Security ont découvert cette nouvelle version de Raspberry Robin dans une nouvelle campagne de diffusion en mars 2024. The Hacker News rapporte que la dernière itération du tristement célèbre logiciel malveillant serait particulièrement douée pour éviter certains programmes antivirus.
La méthode des pirates est ingénieuse. Les cybercriminels hébergent un fichier Windows Script Files (WSF) fortement modifié sur différents sites internet. Ils incitent ensuite leurs victimes à se rendre sur les ULR malveillantes par les moyens habituels : ingénierie sociale, hameçonnage ou encore fausse publicité peuvent servir.
Si ce fichier WSF est exécuté, il récupère le fichier .DLL principal du malware. Les charges utiles sont variées, allant du simple ransomware à d’autres programmes plus insidieux dont voici la liste :
- SocGholish
- Cobalt Strike
- IcedID
- BumbleBee
- TrueBot
Cette nouvelle version de Raspberry Robin se distingue par sa manière de contourner les programmes antivirus. Avant de télécharger la charge utile principale, le malware exécute une série d’analyses afin de déterminer le type d’environnement dans lequel il est activé.
À lire > Windows 10 & 11 : un malware utilise cette faille pour voler votre compte bancaire
Ainsi, cette nouvelle itération ne s’exécutera pas sur les versions de Windows antérieures à décembre 2017. De même, si la liste des processus en cours d’exécution comprend Avast, Avira, Bitdefender, Check Point, ESET ou Kaspersky il ne s’activera pas. Les utilisateurs faisant tourner ces programmes antivirus gratuits sont ainsi à l’abri du malware.
En revanche, il est capable de configurer les règles de Microsoft Defender Antivirus pour s’en auto-exclure. Comme l’avait révélé un classement des meilleurs antivirus en juin 2023, ça continue de pêcher pour l’antivirus de Microsoft. Cette technique lui permet d’échapper à toute détection de Defender et ainsi de mener sa triste mission à bien.
Il faut toutefois garder en tête que la diffusion du malware commence avant tout par une erreur humaine. Si vous ne tombez pas dans le piège des tentatives de phishing et ne faites pas confiance aux inconnus sur internet, vous serez toujours à l’abri des menaces.
- Une nouvelle version du malware Raspberry Robin est actuellement diffusé depuis mars 2024.
- Raspberry Robin active des charges utiles variées allant du ransomware à d’autres programmes de vol de données.
- Cette déclinaison est capable d’échapper à la détection de Microsoft Defender en configurant l’antivirus.