Rasberry Robin

Ny Raspberry Robin bruger ”orm” i Windows Installer til at efterlade malware

Red Canary analytikere har opdaget en ny Windows malware; en såkaldt orm, der spredes ved hjælp af eksterne USB-drev. Denne malware er knyttet til en klynge af ødelæggende aktiviteter kaldet Raspberry Robin og blev først observeret i september 2021.

Red Canary’s team af analytikere opdagede ormen i flere kunders netværk, herunder nogle i teknologi- og fremstillingssektoren. Raspberry Robin spreder sig til nye Windows-systemer, når et inficeret USB-drev, der indeholder en ødelæggende LNK-fil, er tilsluttet. Ormen gyder en ny proces ved hjælp af cmd.exe til at starte en ødelæggende fil gemt på det inficerede drev.

Windows legitime værktøjer misbrugt til at installere malware

Den bruger Microsoft Standard Installer (msiexec.exe) til at nå ud til sine kommando-og-kontrol (C2) servere, sandsynligvis hostet på kompromitterede QNAP-enheder og ved hjælp af TOR exit noder som yderligere C2 infrastruktur.

“Mens msiexec.exe downloader og udfører legitime installationspakker, modstandere udnytter det også til at levere malware,” siger analytikerne og tifføjer: “Raspberry Robin bruger msiexec.exe til at forsøge ekstern netværkskommunikation til et ødelæggende domæne til C2-formål.” Mens de endnu ikke har fundet, om det etablerer vedholdenhed og gennem hvilke metoder, har de dog mistanke om, at malware installerer en ødelæggende DLL-fil [1, 2] på kompromitterede maskiner for at modstå fjernelse mellem genstarter.

Raspberry Robin lancerer denne DLL ved hjælp af to andre legitime Windows-værktøjer: fodhelper (en betroet binær til styring af funktioner i Windows-indstillinger) og odbcconf (et værktøj til konfiguration af ODBC-drivere). Den første giver den mulighed for at omgå User Account Control (UAC), mens den anden vil hjælpe med at udføre og konfigurere DLL.

Kilde: BleepingComputers

Foto: Pexels

Scroll til toppen