Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phần mềm độc hại Windows mới có khả năng giống như sâu và được lan truyền qua các thiết bị USB có thể tháo rời.
Các nhà nghiên cứu của Red Canary lưu ý rằng phần mềm độc hại này được gán cho một cụm có tên là “Raspberry Robin”.
Các dấu hiệu sớm nhất của hoạt động này được cho là có từ tháng 9 năm 2021, với sự lây nhiễm được quan sát thấy trong các tổ chức có quan hệ với lĩnh vực công nghệ và sản xuất.
Chuỗi tấn công liên quan đến Raspberry Robin bắt đầu bằng việc kết nối ổ USB bị nhiễm với máy Windows. Hiện tại bên trong thiết bị là tải trọng sâu, xuất hiện dưới dạng tệp lối tắt .LNK đến một thư mục hợp pháp.
Sau đó, sâu sẽ tạo ra một quy trình mới bằng cách sử dụng cmd.exe để đọc và thực thi một tệp độc hại được lưu trữ trên ổ đĩa ngoài.
Tiếp theo là khởi chạy explorer.exe và msiexec.exe, phần sau được sử dụng để giao tiếp mạng bên ngoài với miền giả mạo cho mục đích lệnh và điều khiển (C2) và để tải xuống và cài đặt tệp thư viện DLL.
Sau đó, DLL độc hại được tải và thực thi bằng một chuỗi các tiện ích hợp pháp của Windows như fodhelper.exe, rundll32.exe đến rundll32.exe và odbcconf.exe, vượt qua Kiểm soát tài khoản người dùng (UAC) một cách hiệu quả.
Cũng phổ biến trên các phát hiện Raspberry Robin là sự hiện diện của liên hệ C2 gửi đi liên quan đến các quy trình regsvr32.exe, rundll32.exe và dllhost.exe đến các địa chỉ ip được liên kết với các nút Tor.
Điều đó nói rằng, các mục tiêu của các nhà khai thác vẫn chưa được trả lời trong giai đoạn này. Nó cũng không rõ ràng làm thế nào và ở đâu các ổ đĩa bên ngoài bị nhiễm, mặc dù người ta nghi ngờ rằng nó được thực hiện ngoại tuyến.
Các nhà nghiên cứu cho biết: “Chúng tôi cũng không biết tại sao Raspberry Robin lại cài đặt một DLL độc hại. “Một giả thuyết cho rằng nó có thể là một nỗ lực để thiết lập sự bền bỉ trên một hệ thống bị nhiễm bệnh.”
.