Les chercheurs en cybersécurité ont découvert un nouveau malware Windows avec des capacités de type ver et se propageant au moyen de périphériques USB amovibles. Attribuant le logiciel malveillant à un cluster nommé « Raspberry Robin », les chercheurs de Red Canary ont noté que le ver « exploite Windows Installer pour atteindre les domaines associés à QNAP et télécharger une DLL malveillante ». Les premiers signes de l’activité remonteraient à septembre 2021, avec des infections observées dans des organisations liées aux secteurs de la technologie et de la fabrication. Les chaînes d’attaque relatives à Raspberry Robin commencent par connecter une clé USB infectée à une machine Windows. La charge utile du ver est présente dans l’appareil, qui apparaît sous la forme d’un fichier de raccourci .LNK vers un dossier légitime.
Le ver se charge ensuite de générer un nouveau processus en utilisant cmd.exe pour lire et exécuter un fichier malveillant stocké sur le disque externe. Ceci est suivi par le lancement de explorer.exe et msiexec.exe, ce dernier étant utilisé pour la communication réseau externe vers un domaine non autorisé à des fins de commande et de contrôle (C2) et pour télécharger et installer un fichier de bibliothèque DLL. La DLL malveillante est ensuite chargée et exécutée à l’aide d’une chaîne d’utilitaires Windows légitimes tels que fodhelper.exe, rundll32.exe à rundll32.exe et odbcconf.exe, contournant efficacement le contrôle de compte d’utilisateur (UAC). Jusqu’à présent, la présence de contacts C2 sortants impliquant les processus regsvr32.exe, rundll32.exe et dllhost.exe vers les adresses IP associées aux nœuds Tor est également courante dans les détections de Raspberry Robin. Cela dit, les objectifs des opérateurs restent à ce stade sans réponse. On ne sait pas non plus comment et où les disques externes sont infectés, bien que l’on soupçonne qu’ils sont effectués hors ligne. « Nous ne savons pas non plus pourquoi Raspberry Robin installe une DLL malveillante », ont déclaré les chercheurs. « Une hypothèse est qu’il pourrait s’agir d’une tentative d’établissement de la persistance sur un système infecté. »