3520 подписчиков
#news Любопытная тактика для запутывания исследователей замечена у авторов малвари Raspberry Robin. Если их зловред обнаруживает, что запущен в песочнице, он засылает фейковый дроппер. Тот, в свою очередь, качает адварь Browser Assistant, чтобы создать впечатление, что это и есть вредоносная нагрузка.
Реальная же малварь с серверами в Торе и без этих трюков скрывается за десятью слоями обфускации. Что занятно, в методах группировки нашли схожести с LockBit’овскими – в частности ICM-калибровку для эскалации привилегий и ThreadHideFromDebugger для антиотладки. Так что между двумя группировками может быть связь, но делать выводы рано. Пока же авторы Raspberry Robin ведут разведку боем, чтобы оценить, насколько эффективны их новые методы.
Около минуты
20 декабря 2022