Червь Stealthy Raspberry Robin распространяет вредоносное ПО через USB-накопители

Windows-червь
Когда вы расследуете преступление, одним из самых важных моментов, который необходимо установить, является «мотив». Если вы знаете, что было совершено преступление, понимание того, почему оно произошло, является важным шагом к выяснению того, кто его совершил.

Строго говоря, установка программного обеспечения на чужой компьютер не является преступлением. Это не проблема, пока оно не станет вредоносным ПО — « вредоносным ПО » — и оно не станет вредоносным ПО, пока не сделает что-то неприятное, например, шифрует пользовательские файлы, открывает лазейки или полностью приводит к сбою системы.

Группа разведки угроз Red Canary отслеживает червя, который она называет Raspberry Robin, и это определенно вредоносное ПО, но вопрос «почему» по-прежнему остается большим вопросом. Red Canary обнаружила червя в нескольких средах своих клиентов еще в сентябре 2021 года, хотя, по ее словам, большая часть активности угрозы произошла с января этого года.

малиновый малиновый шаг
Изображение: Красная канарейка

В эпоху Интернета большинство вредоносных программ распространяется через Интернет, и Raspberry Robin действительно использует Интернет для загрузки важных файлов, однако на самом деле, похоже, он распространяется через зараженные USB-накопители. Используя функцию автозапуска Windows, он выполняет файл .LNK, который является ярлыком ссылки. Оттуда он запускает интерпретатор команд Windows и использует установщик Microsoft, msiexec.exe, для загрузки вредоносной DLL, которую затем устанавливает в систему. Цель этого еще не совсем ясна, но, похоже, это для настойчивости.

После этого система предпринимает многочисленные попытки подключения к удаленным хостам, обычно через TOR. выходные узлы. Дело в том, что на самом деле неясно, что он делает и почему, и, кроме того, Red Canary не знает, кто заражает системы, в которых находится Raspberry Robin. Указанные системы включают в себя машины внутри сетей различных производственных и технологических компаний.

Red Canary приглашает всех, у кого есть информация об этой вредоносной программе, в том числе о ее активности на поздних стадиях, связаться с ними и помочь в расследовании. Если вы хотите исследовать свои собственные системы, чтобы убедиться, что вы не заражены, вы можете просмотреть их сообщение в блоге , в котором рассматриваются симптомы и признаки заражения.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал