Deze gevaarlijke malware valt Windows-apparaten aan via geïnfecteerde USB-drives
Onderzoekers hebben nieuwe malware ontdekt die gericht is op Windows-apparaten, maar ze weten nog niet zeker waarom het dit doet. Cybersecurity-onderzoekers van Red Canary hebben onlangs een nieuwe wormachtige malware ontdekt die zich offline verspreidt via geïnfecteerde USB-drives. De onderzoekers noemden deze specifieke malware geen naam, maar koppelden deze aan een “cluster van kwaadaardige activiteit” die ze Raspberry Robin noemden.
Raspberry Robin
De malware is gevonden op verschillende apparaten in de netwerken van meerdere organisaties in technologie en productie.
Na analyse van de geïnfecteerde USB-sticks, ontdekten onderzoekers dat de worm zich via kwaadaardige. LNK-bestanden naar nieuwe apparaten verspreidt. Zodra het slachtoffer de USB-drive plaatst, start de worm een nieuw proces via cmd.exe en voert het bestand uit.
Om zijn C2-server te bereiken, gebruikt de worm het standaardinstallatieprogramma van Microsoft (msiexec.exe), volgens de onderzoekers. Ze speculeren dat de servers worden gehost op geïnfecteerde QNAP-apparaten, met behulp van TOR-exitknooppunten als aanvullende C2-infrastructuur.
“Terwijl msiexec.exe legitieme installatiepakketten downloadt en uitvoert, wordt het ook door kwaadwillende gebruikt om malware te verspreiden“, stelt het rapport. “Raspberry Robin gebruikt msiexec.exe om externe netwerkcommunicatie met kwaadaardige domeinen te proberen voor C2-doeleinden.”
Maar een van de belangrijkste vragen blijft onbeantwoord, wat heeft het voor zin? Omdat onderzoekers het einde van de malware nog niet hebben gevonden. “Zonder aanvullende informatie over latere activiteiten is het moeilijk om conclusies te trekken over het doel of de doelstellingen van deze activiteiten”, volgens de experts.
Bovendien ontdekten ze dat het een kwaadaardig DLL-bestand had geïnstalleerd, vermoedelijk om persistentie vast te stellen. “We weten ook niet waarom de Raspberry Robin de kwaadaardige DLL installeert”, volgens de onderzoekers. “Eén hypothese is dat het misschien probeert om persistentie op geïnfecteerde systemen vast te stellen, hoewel aanvullende informatie nodig is om vertrouwen in die hypothese op te bouwen.”