Οι αναλυτές πληροφοριών Red Canary ανακάλυψαν ένα νέο κακόβουλο λογισμικό Windows με δυνατότητες τύπου worm που η διάδοση του γίνεται με την χρήση εξωτερικών μονάδων USB.
Αυτό το κακόβουλο λογισμικό έχει άμεση σύνδεση με ένα σύμπλεγμα κακόβουλης δραστηριότητας με την ονομασία aspberry Robin . Η εταιρεία κυβερνοασφάλειας Sekoia ελέγχει αυτό το κακόβουλο λογισμικό ως “σκουλήκι QNAP” από το Σεπτέμβριο του 2021.
Η ομάδα της Red Canary’s Detection Engineering εντόπισε το σκουλήκι σε δίκτυα πολλών πελατών, ορισμένοι στον τομέα της τεχνολογίας και της κατασκευής.
Η εξάπλωση του Raspberry Robin σε νέα συστήματα Windows έχει σύνδεση μια μολυσμένη μονάδα USB που περιέχει ένα κακόβουλο αρχείο .LNK.
Κατά την σύνδεση του , το worm δημιουργεί μια νέα διαδικασία χρησιμοποιώντας το cmd.exe για την εκκίνηση ενός κακόβουλου αρχείου που είναι αποθηκευμένο στη μολυσμένη μονάδα δίσκου.
Κατάχρηση των νόμιμων εργαλείων των Windows για την εγκατάσταση κακόβουλου λογισμικού
Η χρήση του Microsoft Standard Installer (msiexec.exe) το βοηθάει για να προσεγγίσει τους διακομιστές εντολών και ελέγχου (C2), που πιθανόν φιλοξενούνται σε παραβιασμένες συσκευές QNAP και χρησιμοποιούν κόμβους εξόδου TOR ως πρόσθετη υποδομή C2.
“Ενώ το msiexec.exe κατεβάζει και εκτελεί νόμιμα πακέτα προγραμμάτων εγκατάστασης, οι αντίπαλοι το χρησιμοποιούν επίσης για να παρέχουν κακόβουλο λογισμικό”, είπαν.
“Το Raspberry Robin χρησιμοποιεί το msiexec.exe για να επιχειρήσει επικοινωνία εξωτερικού δικτύου σε κακόβουλο τομέα για σκοπούς C2.”
Δεν έχουν βρει ακόμη αν αποδεικνύει την επιμονή και μέσω ποιων μεθόδων. Υπάρχει υποψια ότι το κακόβουλο λογισμικό εγκαθιστά ένα κακόβουλο αρχείο DLL σε παραβιασμένα μηχανήματα για να αντισταθεί στην αφαίρεση μεταξύ των επανεκκινήσεων.
Το Raspberry Robin λανσάρει αυτό το DLL με τη βοήθεια δύο άλλων νόμιμων βοηθητικών προγραμμάτων των Windows: το fodhelper (ένα αξιόπιστο δυαδικό αρχείο για τη διαχείριση λειτουργιών στις ρυθμίσεις των Windows) και το odbcconf (ένα εργαλείο για τη ρύθμιση των προγραμμάτων οδήγησης ODBC).
Το πρώτο του επιτρέπει να παρακάμψει τον Έλεγχο λογαριασμού χρήστη (UAC), ενώ το δεύτερο θα σας βοηθήσει να εκτελέσετε και να ρυθμίσετε τις παραμέτρους του DLL.