Η Microsoft ανακάλυψε ένα Windows worm στα δίκτυα εκατοντάδων οργανισμών από διάφορους κλάδους.
Το κακόβουλο λογισμικό, που ονομάζεται Raspberry Robin, εξαπλώνεται μέσω μολυσμένων συσκευών USB και εντοπίστηκε για πρώτη φορά τον Σεπτέμβριο του 2021 από αναλυτές της Red Canary.
Η εταιρεία ασφαλείας Sekoia βρήκε το ίδιο worm να χρησιμοποιεί συσκευές QNAP NAS σαν διακομιστές εντολών και ελέγχου (C2) στις αρχές Νοεμβρίου [PDF], ενώ η Microsoft δήλωσε ότι ανακάλυψε κακόβουλα πακέτα να συνδέονται με αυτό το worm που δημιουργήθηκε το 2019.
Τα ευρήματα του Redmond ευθυγραμμίζονται πολύ με αυτά της ομάδας Red Canary’s Detection Engineering, η οποία εντόπισε επίσης αυτό το worm σε δίκτυα πολλών πελατών της.
Αν και η Microsoft παρατήρησε το κακόβουλο λογισμικό συνδέεται με διευθύνσεις στο δίκτυο Tor, οι επιτιθέμενοι δεν έχουν αγγίξει ακόμη τους υπολογιστές των θυμάτων τους παρά του ότι έχουν ήδη πρόσβαση.
Το κακόβουλο λογισμικό μπορεί να παρακάμψει τον Έλεγχο λογαριασμού χρήστη (UAC από το User Account Control) σε μολυσμένα συστήματα χρησιμοποιώντας ορισμένα εργαλεία των Windows.
Όπως αναφέραμε ήδη, το Raspberry Robin εξαπλώνεται σε συστήματα με Windows μέσω μολυσμένων μονάδων USB που περιέχουν ένα κακόβουλο αρχείο .LNK.
Μόλις συνδεθεί η συσκευή USB και ο χρήστης κάνει κλικ στη σύνδεση, το worm δημιουργεί μια διεργασία msiexec χρησιμοποιώντας το cmd.exe για να εκκινήσει ένα κακόβουλο αρχείο που είναι αποθηκευμένο στο μολυσμένο USB.
Προσβάλλει νέες συσκευές με Windows, επικοινωνεί με τους διακομιστές εντολών και ελέγχου (C2) και τρέχει κακόβουλα πακέτα χρησιμοποιώντας διάφορα βοηθητικά προγράμματα των Windows:
- fodhelper (ένα αξιόπιστο εκτελέσιμο των Windows),
- msiexec (στοιχείο γραμμής εντολών του Windows Installer),
- και odbcconf (ένα εργαλείο για τη ρύθμιση των προγραμμάτων οδήγησης ODBC).
Οι ερευνητές ασφαλείας που εντόπισαν το Raspberry Robin δεν έχουν εντοπίσει ακόμη από που προέρχεται αλλά εξακολουθούν να αναζητούν τα ψηφιακά ίχνη των κακόβουλων προγραμματιστών.
Η Microsoft έχει χαρακτηρίσει ήδη αυτή την καμπάνια “υψηλού κινδύνου”, καθώς οι εισβολείς μπορούν να κατεβάσουν και να αναπτύξουν επιπλέον κακόβουλο λογισμικό στα δίκτυα των θυμάτων τους. Φυσικά μπορούν να αρχίσουν να προκαλούν ζημιές ανά πάσα στιγμή.