Deze gevaarlijke malware valt Windows-apparaten aan via geïnfecteerde USB-drives

nieuwe gevaarlijke malware valt windows apparaten via usb

Deze gevaarlijke malware valt Windows-apparaten aan via geïnfecteerde USB-drives

Onderzoekers hebben nieuwe malware ontdekt die gericht is op Windows-apparaten, maar ze weten nog niet zeker waarom het dit doet. Cybersecurity-onderzoekers van Red Canary hebben onlangs een nieuwe wormachtige malware ontdekt die zich offline verspreidt via geïnfecteerde USB-drives. De onderzoekers noemden deze specifieke malware geen naam, maar koppelden deze aan een “cluster van kwaadaardige activiteit” die ze Raspberry Robin noemden.

Raspberry Robin

De malware is gevonden op verschillende apparaten in de netwerken van meerdere organisaties in technologie en productie.
Na analyse van de geïnfecteerde USB-sticks, ontdekten onderzoekers dat de worm zich via kwaadaardige. LNK-bestanden naar nieuwe apparaten verspreidt. Zodra het slachtoffer de USB-drive plaatst, start de worm een nieuw proces via cmd.exe en voert het bestand uit.
Om zijn C2-server te bereiken, gebruikt de worm het standaardinstallatieprogramma van Microsoft (msiexec.exe), volgens de onderzoekers. Ze speculeren dat de servers worden gehost op geïnfecteerde QNAP-apparaten, met behulp van TOR-exitknooppunten als aanvullende C2-infrastructuur.
“Terwijl msiexec.exe legitieme installatiepakketten downloadt en uitvoert, wordt het ook door kwaadwillende gebruikt om malware te verspreiden“, stelt het rapport. “Raspberry Robin gebruikt msiexec.exe om externe netwerkcommunicatie met kwaadaardige domeinen te proberen voor C2-doeleinden.”
Maar een van de belangrijkste vragen blijft onbeantwoord, wat heeft het voor zin? Omdat onderzoekers het einde van de malware nog niet hebben gevonden. “Zonder aanvullende informatie over latere activiteiten is het moeilijk om conclusies te trekken over het doel of de doelstellingen van deze activiteiten”, volgens de experts.
Bovendien ontdekten ze dat het een kwaadaardig DLL-bestand had geïnstalleerd, vermoedelijk om persistentie vast te stellen. “We weten ook niet waarom de Raspberry Robin de kwaadaardige DLL installeert”, volgens de onderzoekers. “Eén hypothese is dat het misschien probeert om persistentie op geïnfecteerde systemen vast te stellen, hoewel aanvullende informatie nodig is om vertrouwen in die hypothese op te bouwen.”

Neem contact op

Cookie	Duur	Omschrijving
_GRECAPTCHA	5 maanden 27 dagen	Deze cookie is ingesteld door de Google recaptcha-service om bots te identificeren om de website te beschermen tegen kwaadaardige spamaanvallen.
cookielawinfo-checkbox-advertisement	1 jaar	Deze cookie, ingesteld door de GDPR Cookie Consent-plug-in, wordt gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Advertentie" vast te leggen.
cookielawinfo-checkbox-analytics	1 jaar	Deze cookie wordt ingesteld door de plug-in GDPR Cookie Consent. De cookies worden gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Analytics" op te slaan.
cookielawinfo-checkbox-functional	1 jaar	De cookie wordt ingesteld door de GDPR Cookie Consent-plug-in om de gebruikerstoestemming voor de cookies in de categorie "Functioneel" vast te leggen.
cookielawinfo-checkbox-necessary	1 jaar	Deze cookie wordt ingesteld door de plug-in GDPR Cookie Consent. De cookies worden gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Noodzakelijk" op te slaan.
cookielawinfo-checkbox-others	1 jaar	Deze cookie is ingesteld door de GDPR Cookie Consent-plug-in en wordt gebruikt om de gebruikerstoestemming voor cookies in de categorie "Overige" op te slaan.
CookieLawInfoConsent	1 jaar	De cookie wordt ingesteld door de GDPR Cookie Consent-plug-in en wordt gebruikt om op te slaan voor welke cookies de gebruiker al dan niet toestemming heeft gegeven voor het gebruik ervan. Het slaat geen persoonlijke gegevens op.
tawk_uuid_propertyId	6 maanden	Bezoekers volgen.
twk_idm_key	sessie	Beheer van bezoekersverbindingen.
viewed_cookie_policy	11 maanden	De cookie wordt ingesteld door de GDPR Cookie Consent-plug-in en wordt gebruikt om op te slaan of de gebruiker al dan niet toestemming heeft gegeven voor het gebruik van cookies. Het slaat geen persoonlijke gegevens op.

Cookie	Duur	Omschrijving
_fbp	3 maanden	Deze cookie wordt door Facebook ingesteld om advertenties weer te geven op Facebook of op een digitaal platform dat wordt aangedreven door Facebook-advertenties, na een bezoek aan de website.
fr	3 maanden	Facebook stelt deze cookie in om relevante advertenties aan gebruikers te tonen door het gebruikersgedrag op internet te volgen, op sites die een Facebook-pixel of sociale plug-in van Facebook hebben.
VISITOR_INFO1_LIVE	5 maanden 27 dagen	Een cookie die door YouTube is ingesteld om de bandbreedte te meten die bepaalt of de gebruiker de nieuwe of oude spelerinterface krijgt.
YSC	sessie	YSC-cookie is ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.
yt-remote-connected-devices	Aanhoudend	YouTube plaatst deze cookie om de videovoorkeuren van de gebruiker op te slaan met behulp van embedded YouTube-video.
yt-remote-device-id	Aanhoudend	YouTube plaatst deze cookie om de videovoorkeuren van de gebruiker op te slaan met behulp van embedded YouTube-video.