Η Microsoft λέει ότι εντόπισε ένα Windows worm με το όνομα Raspberry Robin στα δίκτυα εκατοντάδων οργανισμών. Το κακόβουλο λογισμικό εξαπλώνεται μέσω μολυσμένων συσκευών USB και εντοπίστηκε για πρώτη φορά τον Σεπτέμβριο του 2021 από αναλυτές της Red Canary.
Η εταιρεία κυβερνοασφάλειας Sekoia παρατήρησε το malware να χρησιμοποιεί συσκευές QNAP NAS ως command and control servers (C2) servers στις αρχές Νοεμβρίου [PDF].
Τα ευρήματα της Microsoft ευθυγραμμίζονται με εκείνα των ερευνητών της Red Canary, η οποία εντόπισε επίσης αυτό το Windows worm σε δίκτυα πολλών πελατών (κάποιοι ανήκαν στον τομέα της τεχνολογίας και των κατασκευών).
Δείτε επίσης: Microsoft Defender: Εντοπισμός αδυναμιών σε συσκευές Android/iOS σε εταιρικά δίκτυα
Αν και η Microsoft παρατήρησε το κακόβουλο λογισμικό να συνδέεται σε διευθύνσεις στο δίκτυο Tor, οι φορείς απειλών δεν έχουν ακόμη εκμεταλλευτεί την πρόσβαση που απέκτησαν στα δίκτυα των θυμάτων τους, παρά το γεγονός ότι θα μπορούσαν εύκολα να κλιμακώσουν τις επιθέσεις τους. Το Raspberry Robin μπορεί να παρακάμψει το User Account Control (UAC) σε μολυσμένα συστήματα χρησιμοποιώντας νόμιμα εργαλεία των Windows.
Το Raspberry Robin κάνει κατάχρηση νόμιμων εργαλείων των Windows
Όπως είπαμε και παραπάνω, το Raspberry Robin worm εξαπλώνεται σε νέα συστήματα Windows μέσω μολυσμένων μονάδων USB. Αυτές οι συσκευές περιέχουν ένα κακόβουλο αρχείο .LNK.
Μόλις συνδεθεί η συσκευή USB και ο χρήστης κάνει κλικ στο link, ο ιός τύπου worm δημιουργεί ένα msiexec process χρησιμοποιώντας το cmd. exe για να εκκινήσει ένα κακόβουλο αρχείο που είναι αποθηκευμένο στη μολυσμένη μονάδα δίσκου.
Δείτε επίσης: Η Google ενημερώνει τον Chrome password manager
Έτσι, μολύνει νέες συσκευές Windows, επικοινωνεί με τους command and control servers (C2), και εκτελεί κακόβουλα payloads χρησιμοποιώντας διάφορα νόμιμα βοηθητικά προγράμματα των Windows:
- fodhelper (ένα αξιόπιστο binary για τη διαχείριση λειτουργιών στις ρυθμίσεις των Windows),
- msiexec (command line Windows Installer component),
- και odbcconf (ένα εργαλείο για τη ρύθμιση των ODBC drivers).
“Ενώ το msiexec.exe κατεβάζει και εκτελεί νόμιμα installer packages, οι εγκληματίες του κυβερνοχώρου το χρησιμοποιούν επίσης για να παραδώσουν κακόβουλο λογισμικό“, εξήγησαν οι ερευνητές της Red Canary.
Δείτε επίσης: Hackers παραβιάζουν επαληθευμένους λογαριασμούς Twitter και κλέβουν credentials
Οι ερευνητές ασφαλείας που εντόπισαν το Raspberry Robin Windows worm δεν έχουν ακόμη αποδώσει το κακόβουλο λογισμικό σε μια συγκεκριμένη ομάδα απειλών και προσπαθούν ακόμα να ανακαλύψουν τον τελικό στόχο των χειριστών του.
Ωστόσο, η Microsoft έχει επισημάνει αυτήν την καμπάνια ως υψηλού κινδύνου, δεδομένου ότι οι επιτιθέμενοι έχουν τη δυνατότητα να κατεβάσουν και να αναπτύξουν πρόσθετο κακόβουλο λογισμικό στα δίκτυα των θυμάτων, ενώ μπορούν επίσης να αυξήσουν τα προνόμιά τους ανά πάσα στιγμή.
Πηγή: www.bleepingcomputer.com