Ειδικοί στον τομέα της κυβερνοασφάλειας έχουν ανακαλύψει ένα νέο επικίνδυνο κύμα του κακόβουλου λογισμικού Raspberry Robin, γνωστό επίσης και ως QNAP, το οποίο εξαπλώθηκε τον Μάρτιο του 2024, μέσω κακόβουλων αρχείων των Windows (WSF), εκμεταλλεύοντας ευπάθειες στα συστήματα.

Αρχικά, διαδόθηκε μέσω USB συσκευών, αλλά έχει εξελιχθεί τόσο, που πλέον χρησιμοποιεί ποικίλους τρόπους μόλυνσης, όπως κοινωνική μηχανική και επιβλαβείς διαφημίσεις. Το εν λόγω κακόβουλο λογισμικό λειτουργεί ως διακομιστής για τη λήψη πολλαπλών επιβλαβών φορτίων, συμπεριλαμβάνοντας τα SocGholish, Cobalt Strike και ransomware.

Συνδεδεμένο με το σύμπλεγμα απειλών Storm-0856, έχει δεσμούς με ομάδες εγκλήματος στον κυβερνοχώρο όπως η Evil Corp και η Silence. Τα αρχεία WSF διανέμονται μέσω τομέων και υποτομέων, πιθανώς μέσω ανεπιθύμητης αλληλογραφίας ή κακόβουλης διαφήμισης. Το πολύ ασαφές WSF λειτουργεί ως πρόγραμμα λήψης, ανακτώντας ωφέλιμα φορτία DLL από απομακρυσμένους διακομιστές.

Πραγματοποιεί ελέγχους anti-analysis και anti-virtual, διακόπτοντας τη λειτουργία του εάν εντοπίσει ότι η έκδοση των Windows είναι πολύ παλιά ή αν αναγνωρίσει συγκεκριμένες antivirus διαδικασίες. Επίσης, παραμετροποιεί τις ρυθμίσεις εξαίρεσης του Microsoft Defender Antivirus για να παρακάμψει την ανίχνευση.

Το πρόγραμμα λήψης WSF δεν ανιχνεύεται ακόμη από τα συστήματα ανίχνευσης ιών στο VirusTotal, παρουσιάζοντας σημαντικό κίνδυνο για μολύνσεις. Η πολυπλοκότητα και οι μέθοδοι αποφυγής ανίχνευσης καθυστερούν τη διαδικασία ανάλυσης και επισημαίνουν τις πιθανές συνέπειες της εξάπλωσης κακόβουλου λογισμικού.