Windows 上的防病毒软件无法检测到这种新恶意软件，每个人都是安全的！

对于 Windows 用户来说，这是一个坏消息，流行的 Raspberry Robin 恶意软件的一个令人担忧的新变种已经出现。研究人员表示，领先的防病毒和端点安全解决方案几乎无法检测到它。

网络安全公司 HP Wolf Security 披露了 2024 年 3 月发现的新 Raspberry Robin 恶意软件活动的详细信息。这一最新进展依赖于 Windows 脚本文件 (WSF) 来恢复和恢复在受感染的系统上秘密部署其恶意负载。

根据惠普的分析，WSF 文件使用一系列规避策略来躲避安全软件和安全研究人员的分析工作。其中包括如果检测到某些安全产品（例如卡巴斯基或 Bitdefender）则停止执行，以及配置 Microsoft Defender 排除项以防止扫描。

另请阅读–小心这个 Adob​​e 安装程序，它是假的，并且隐藏了危险的恶意软件

防病毒软件无法检测恶意软件

值得注意的是，VirusTotal 多重扫描仪上的任何防病毒引擎目前均未将这些脚本标记为恶意脚本，这允许恶意软件在没有遇到任何防御措施的情况下传播。

Raspberry Robin，也称为 QNAP，首次出现于 2021 年 9 月，通过恶意 USB 设备进行传播。但其作者此后尝试了新的分发载体，例如社会工程活动将受害者引导至托管受损 WSF 文件的域。

当在易受攻击的 Windows 系统上执行时，WSF 脚本可以从 Raspberry Robin 恶意软件系列中检索许多潜在的有效负载。其中包括 SocGholish、Cobalt Strike 信标等数据窃取木马，以及企业网络勒索软件感染的前兆。

谁是 Raspberry Robin 攻击的幕后黑手？

该恶意软件与一个名为 Storm-0856 的新网络犯罪组织有关，该犯罪组织与 Evil Corp 和 Silence 等臭名昭著的俄罗斯勒索软件团伙有联系。

惠普的研究还显示，最新版本的 Raspberry Robin 在启动下一阶段的感染之前会执行一系列检查来验证其环境。特别是，它检查 Windows 版本号，扫描恶意软件扫描中使用的虚拟机，并在检测到某些安全产品时中断其进程。

如果所有检查都通过，Raspberry Robin 就会配置 Microsoft Defender 排除，通过将整个主系统驱动器列入白名单来删除保护。因此，恶意软件可以不受控制地访问整个设备，同时对用户的安全软件保持隐藏。

恶意软件开发人员已成为编写恶意代码的专家，这些代码专门用于逃避检测，甚至是主要防病毒供应商的检测。例如，我们最近与您交谈过隐藏良好的恶意软件，至少 5 年没有被注意到在被卡巴斯基研究人员发现之前。

因此，我们比以往任何时候都更建议您小心机器上安装的内容。尽管他们目前无法检测到这种新的恶意软件，但我们仍然建议您按照以下步骤选择防病毒软件我们的 Windows 最佳免费软件指南。并非所有软件都彼此有效，因此最好选择最适合您需求的软件。