Cyberthreat.id – Para peneliti telah mengidentifikasi kesamaan fungsional antara komponen berbahaya yang digunakan dalam rantai infeksi Raspberry Robin dan pemuat malware Dridex, yang semakin memperkuat koneksi operator ke grup Evil Corp yang berbasis di Rusia.

Melansir The Hacker News, temuan menunjukkan bahwa "Evil Corp kemungkinan menggunakan infrastruktur Raspberry Robin untuk melakukan serangannya," kata peneliti IBM Security X-Force Kevin Henson dalam analisis hari Kamis.

Raspberry Robin (alias QNAP Worm), pertama kali ditemukan oleh perusahaan keamanan siber Red Canary pada September 2021, tetap menjadi misteri selama hampir satu tahun, sebagian karena kurangnya kegiatan pasca-eksploitasi di alam liar.

Itu berubah pada Juli 2022 ketika Microsoft mengungkapkan bahwa mereka mengamati malware FakeUpdates (alias SocGholish) dikirim melalui infeksi Raspberry Robin yang ada, dengan koneksi potensial yang diidentifikasi antara DEV-0206 dan DEV-0243 (alias Evil Corp).

Malware diketahui dikirim dari sistem yang disusupi melalui perangkat USB yang terinfeksi yang berisi file .LNK berbahaya ke perangkat lain di jaringan target. File Pintasan Windows dirancang untuk mengambil DLL berbahaya dari server jauh.

"Pemuat Raspberry Robin adalah DLL yang mendekode dan menjalankan pemuat perantara," kata Henson. "Pemuat perantara melakukan deteksi kait sebagai teknik anti-analisis, mendekode stringnya saat runtime dan kemudian mendekode DLL yang sangat dikaburkan yang tujuannya belum ditentukan," lanjutnya.

Lebih lanjut, analisis komparatif IBM Security X-Force tentang pemuat Raspberry Robin 32-bit dan pemuat Dridex 64-bit menemukan tumpang tindih dalam fungsi dan struktur, dengan kedua komponen menggabungkan kode anti-analisis yang serupa dan mendekode muatan akhir dengan cara yang analog.

Dridex (alias Bugat atau Cridex) adalah hasil karya Evil Corp dan mengacu pada trojan perbankan dengan kemampuan untuk mencuri informasi, menyebarkan malware tambahan seperti ransomware, dan memperbudak mesin Windows yang disusupi ke dalam botnet.

Untuk mengurangi infeksi Raspberry Robin, disarankan agar organisasi memantau koneksi perangkat USB dan menonaktifkan fitur AutoRun di pengaturan sistem operasi Windows.