‘Raspberry Robin’ cible les entreprises avec un nouveau ver qui s’installe avec les outils Windows standard

'raspberry Robin' Cible Les Entreprises Avec Un Nouveau Ver Qui

En bref : Des chercheurs ont découvert un ver relativement nouveau qui infecte les PC Windows via un disque dur externe compromis. Bien qu’ils y restent depuis plusieurs mois et sachent comment cela fonctionne, ils ne sont pas sûrs de sa fin de partie. Outre la nature insidieuse de son fonctionnement, ses tâches de dernière minute sont encore inconnues.

Les analystes de Red Canary ont révélé un cluster d’activités malveillantes qui utilise un ver propagé via des clés USB externes. Le logiciel malveillant utilise le « ver QNAP », que la société de cyber-intelligence Sekoia a décrit en novembre 2021. Cependant, Red Canary l’a détecté dans certains des réseaux de ses clients technologiques et fabricants et l’a suivi depuis septembre sous le nom de code Raspberry Robin.

Raspberry Robin se propage lorsque les utilisateurs connectent une clé USB infectée à leur ordinateur. Le ver, déguisé en fichier LNK, utilise ensuite Windows cmd.exe pour lancer un fichier malveillant. Il utilise ensuite Microsoft Standard Installer (msiexec.exe) pour se connecter aux serveurs de commande et de contrôle (C2), généralement des appareils QNAP vulnérables. Il utilise ensuite les nœuds de sortie TOR pour brouiller les pistes.

Raspberry Robin cible les entreprises avec un nouveau ver qui

Red Canary soupçonne que Raspberry Robin établit la persistance en installant un fichier DLL malveillant à partir des serveurs C2. Le logiciel malveillant lance ensuite la DLL à l’aide de deux utilitaires inclus dans Windows : fodhelper (un gestionnaire de paramètres Windows) et obdcconf (un outil de configuration du pilote ODBC). Le premier contourne le contrôle de compte d’utilisateur et le second exécute et configure la DLL.

Cependant, les chercheurs admettent qu’il ne s’agit que d’une hypothèse de travail. Ils ne savent pas exactement ce que font les DLL et n’ont pas non plus compris comment cela se propage aux clés USB.

« D’abord et avant tout, nous ne savons pas comment ni où Raspberry Robin infecte les disques externes pour perpétuer son activité, bien qu’il soit probable que cela se produise hors ligne ou autrement en dehors de notre visibilité », a déclaré Red Canary. « Nous ne savons pas non plus pourquoi Raspberry Robin installe une DLL malveillante. »

On ne sait pas non plus quel est le but ultime du ver QNAP. Autre que la façon dont cela fonctionne, les chercheurs n’ont vu aucune « activité de stade avancé » qui profiterait aux opérateurs.

Crédit image : Red Canary