树莓罗宾变异,现在可通过 Windows 脚本文件传播
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
惠普威胁研究团队发现树莓罗宾蠕虫改变了传播策略,使用Windows脚本文件传播。恶意软件家族的前身,最初通过USB驱动器传播,现已扩展到其他方法。安全团队应重点防范此恶意软件。
🎯
关键要点
- 惠普威胁研究团队发现树莓罗宾蠕虫改变了传播策略,使用Windows脚本文件传播。
- 树莓罗宾最初通过USB驱动器传播,现已扩展到包括恶意广告等其他方法。
- 该蠕虫病毒通过高度混淆的Windows脚本文件(WSF)传播,利用反分析技术。
- 恶意软件在真实设备上运行时才会下载和执行最终有效载荷。
- 树莓罗宾与多个恶意软件家族(如SocGholish、Cobalt Strike等)有关联。
- WSF文件格式支持JScript和VBScript等脚本语言,能够被Windows脚本主机解释。
- 恶意行为者可能通过垃圾邮件或恶意广告引诱用户访问恶意URL。
- 该恶意软件检测率为0%,显示其隐蔽性。
- 脚本通过检查网卡的MAC地址来识别虚拟化环境,并在调试器中进行分析时自动删除。
- 安全团队应重点防范树莓罗宾,以应对其作为勒索软件前兆的威胁。
➡️
