Фахівці з кібербезпеки з Red Canary розповіли про новий вірус Raspberry Robin, який розповсюджується на комп’ютери з Windows при підключенні зараженого USB-накопичувача, що містить шкідливий файл .LNK.
Після підключення черв’як породжує новий процес за допомогою cmd.exe для запуску шкідливого файлу, що зберігається на зараженому диску.
Він використовує стандартний інсталятор Microsoft (msiexec.exe) для зв’язку зі своїми серверами командування та управління (C2), які, ймовірно, розміщені на зламаних пристроях QNAP і використовують вузли виходу TOR як додаткову інфраструктуру C2.
Хоча дослідники ще не з’ясували, чи забезпечує він стійкість та якими методами, вони підозрюють, що шкідлива програма встановлює шкідливий DLL-файл 1, 2 на скомпрометовані машини, щоб протистояти своєму видаленню між перезавантаженнями.
Raspberry Robin запускає цю DLL за допомогою двох інших легітимних утиліт Windows: fodhelper (довірений двійковий файл для керування функціями в налаштуваннях Windows) та odbcconf (інструмент для налаштування драйверів ODBC).
Перша дозволяє обійти User Account Control (UAC), а друга допомагає виконати та налаштувати DLL.
Хоча аналітики Red Canary змогли уважно вивчити, що робить виявлений вірус на заражених системах, все ще залишається кілька питань, що вимагають відповіді.
Оскільки немає жодної інформації про кінцеві шкідливі завдання цієї шкідливої програми, ще одне питання, що вимагає відповіді, – яка мета операторів Raspberry Robin.