Raspberry Robin επικίνδυνο worm στα δίκτυα των Windows

Η Microsoft ανακάλυψε ένα Windows worm στα δίκτυα εκατοντάδων οργανισμών από διάφορους κλάδους.

Το κακόβουλο λογισμικό, που ονομάζεται Raspberry Robin, εξαπλώνεται μέσω μολυσμένων συσκευών USB και εντοπίστηκε για πρώτη φορά τον Σεπτέμβριο του 2021 από αναλυτές της Red Canary.

raspberry robin windows

Η εταιρεία ασφαλείας Sekoia βρήκε το ίδιο worm να χρησιμοποιεί συσκευές QNAP NAS σαν διακομιστές εντολών και ελέγχου (C2) στις αρχές Νοεμβρίου [PDF], ενώ η Microsoft δήλωσε ότι ανακάλυψε κακόβουλα πακέτα να συνδέονται με αυτό το worm που δημιουργήθηκε το 2019.

Τα ευρήματα του Redmond ευθυγραμμίζονται πολύ με αυτά της ομάδας Red Canary’s Detection Engineering, η οποία εντόπισε επίσης αυτό το worm σε δίκτυα πολλών πελατών της.

Αν και η Microsoft παρατήρησε το κακόβουλο λογισμικό συνδέεται με διευθύνσεις στο δίκτυο Tor, οι επιτιθέμενοι δεν έχουν αγγίξει ακόμη τους υπολογιστές των θυμάτων τους παρά του ότι έχουν ήδη πρόσβαση.

Το κακόβουλο λογισμικό μπορεί να παρακάμψει τον Έλεγχο λογαριασμού χρήστη (UAC από το User Account Control) σε μολυσμένα συστήματα χρησιμοποιώντας ορισμένα εργαλεία των Windows.

Όπως αναφέραμε ήδη, το Raspberry Robin εξαπλώνεται σε συστήματα με Windows μέσω μολυσμένων μονάδων USB που περιέχουν ένα κακόβουλο αρχείο .LNK.

Μόλις συνδεθεί η συσκευή USB και ο χρήστης κάνει κλικ στη σύνδεση, το worm δημιουργεί μια διεργασία msiexec χρησιμοποιώντας το cmd.exe για να εκκινήσει ένα κακόβουλο αρχείο που είναι αποθηκευμένο στο μολυσμένο USB.

Προσβάλλει νέες συσκευές με Windows, επικοινωνεί με τους διακομιστές εντολών και ελέγχου (C2) και τρέχει κακόβουλα πακέτα χρησιμοποιώντας διάφορα βοηθητικά προγράμματα των Windows:

  • fodhelper (ένα αξιόπιστο εκτελέσιμο των Windows),
  • msiexec (στοιχείο γραμμής εντολών του Windows Installer),
  • και odbcconf (ένα εργαλείο για τη ρύθμιση των προγραμμάτων οδήγησης ODBC).

Οι ερευνητές ασφαλείας που εντόπισαν το Raspberry Robin δεν έχουν εντοπίσει ακόμη από που προέρχεται αλλά εξακολουθούν να αναζητούν τα ψηφιακά ίχνη των κακόβουλων προγραμματιστών.

Η Microsoft έχει χαρακτηρίσει ήδη αυτή την καμπάνια “υψηλού κινδύνου”, καθώς οι εισβολείς μπορούν να κατεβάσουν και να αναπτύξουν επιπλέον κακόβουλο λογισμικό στα δίκτυα των θυμάτων τους. Φυσικά μπορούν να αρχίσουν να προκαλούν ζημιές ανά πάσα στιγμή.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).