Ce nouveau logiciel malveillant dangereux attaque Windows via des clés USB infectées

Les chercheurs ont découvert de nouveau logiciel malveillant ciblant les appareils Windows, mais ils ne savent pas encore la raison.

En plus Les chercheurs en cybersécurité de Red Canary ont récemment découvert de nouveaux logiciels malveillants ressemblant à des virus. Qui se propagent hors ligne via des clés USB infectées. logiciel malveillant

Les chercheurs n’ont pas nommé ce logiciel malveillant en particulier, mais l’ont lié à un « groupe d’activités malveillantes » qu’ils ont nommé Raspberry Robin.

Article en relation : LAPSUS$: le gang de cybercriminalité le plus prestigieux

Logiciel malveillant Raspberry Robin

Le logiciel malveillant est présent dans différents endpoints sur plusieurs réseaux appartenant à des organisations du secteur technique et manufacturier.
Après avoir analysé les clés USB infectées, les chercheurs ont découvert que le virus se propageait à de nouveaux appareils via des fichiers .LNK malveillants. Une fois que la victime insère la clé USB, le ver déclenche un nouveau processus via cmd.exe et exécute le fichier.

Pour atteindre son serveur C2, le virus utilise le programme d’installation standard de Microsoft (msiexec.exe), ont indiqué les chercheurs. Ils ont supposé que le serveur était hébergé sur un appareil QNAP compromis et que les nœuds de sortie TOR étaient utilisés comme infrastructure C2 supplémentaire.

« Alors que msiexec.exe télécharge et exécute des packages d’installation légitimes, les attaquants l’utilisent également pour propager des logiciels malveillants », indique le rapport. « Raspberry Robin utilise msiexec.exe pour tenter une communication réseau externe avec des domaines malveillants à des fins C2. »
Mais l’une des questions clés reste sans réponse – quel est son but ? Parce que les chercheurs n’ont pas encore découvert le résultat final du malware. « Sans informations supplémentaires sur les activités à un stade ultérieur, il est difficile de déduire les cibles de ces activités », ont déclaré les experts.

De plus, ils ont découvert qu’il installe un fichier DLL malveillant, probablement pour établir la persistance.

« Nous ne savons pas non plus pourquoi Raspberry Robin installe une DLL malveillante », ont déclaré les chercheurs. « Une hypothèse est qu’il peut s’agir d’une tentative d’établir la persistance sur un système infecté. Bien que des informations supplémentaires soient nécessaires pour renforcer la confiance dans cette hypothèse. »