Windows 上的防毒軟體無法偵測到這種新惡意軟體，每個人都是安全的！

對於 Windows 用戶來說，這是一個壞消息，流行的 Raspberry Robin 惡意軟體的一個令人擔憂的新變種已經出現。研究人員表示，領先的防毒和端點安全解決方案幾乎無法檢測到它。

網路安全公司 HP Wolf Security 揭露了 2024 年 3 月發現的新 Raspberry Robin 惡意軟體活動的詳細資訊。在受感染的系統上秘密部署其惡意負載。

根據惠普的分析，WSF 檔案使用一系列規避策略來躲避安全軟體和安全研究人員的分析工作。其中包括如果偵測到某些安全產品（例如卡巴斯基或 Bitdefender）則中斷執行，以及配置 Microsoft Defender 排除項以防止掃描。

另請閱讀–小心這個 Adob​​e 安裝程序，它是假的，並且隱藏了危險的惡意軟體

防毒軟體無法偵測惡意軟體

值得注意的是，VirusTotal 多重掃描儀上的任何防毒引擎目前均未將這些腳本標記為惡意腳本，因此允許惡意軟​​體在沒有遇到任何防禦措施的情況下傳播。

Raspberry Robin，也稱為 QNAP，首次出現於 2021 年 9 月，透過惡意 USB 裝置傳播。但其作者此後嘗試了新的分發載體，例如社會工程活動將受害者引導至託管受損 WSF 檔案的網域。

當在易受攻擊的 Windows 系統上執行時，WSF 腳本可以從 Raspberry Robin 惡意軟體系列中檢索許多潛在的有效負載。其中包括 SocGholish、Cobalt Strike 信標等資料竊取木馬，以及企業網路勒索軟體感染的前兆。

誰是 Raspberry Robin 攻擊的幕後黑手？

該惡意軟體與一個名為 Storm-0856 的新網路犯罪組織有關，該犯罪組織與 Evil Corp 和 Silence 等臭名昭著的俄羅斯勒索軟體團夥有聯繫。

惠普的研究也顯示，最新版本的 Raspberry Robin 在啟動下一階段的感染之前會執行一系列檢查來驗證其環境。特別是，它檢查 Windows 版本號，掃描惡意軟體掃描中使用的虛擬機，並在偵測到某些安全產品時中斷其進程。

如果所有檢查都通過，Raspberry Robin 就會設定 Microsoft Defender 排除，透過將整個主系統磁碟機列入白名單來刪除保護。因此，惡意軟體可以不受控制地存取整個設備，同時對使用者的安全軟體保持隱藏。

惡意軟體開發人員已成為編寫惡意程式碼的專家，這些程式碼專門用於逃避檢測，甚至是主要防毒供應商的檢測。例如，我們最近與您交談過隱藏良好的惡意軟體，至少 5 年沒有被注意到在被卡巴斯基研究人員發現之前。

因此，我們比以往任何時候都更建議您小心機器上安裝的內容。儘管他們目前無法檢測到這種新的惡意軟體，但我們仍然建議您按照以下步驟選擇防毒軟體我們的 Windows 最佳免費軟體指南。並非所有軟體都彼此有效，因此最好選擇最適合您需求的軟體。