Zařízení se systémem Windows ohrožuje nový malware, který se šíří přes USB disky

Výzkumníci kybernetické bezpečnosti ze společnosti Red Canary nedávno objevili nový malware podobný červu, který se šíří offline, prostřednictvím infikovaných USB disků.

Malware zatím nemá jméno, ale odborníci ho spojují se „shlukem škodlivých aktivit“, který nazvali Raspberry Robin. Malware se objevil na různých koncových bodech v několika sítích patřících organizacím z technologického a výrobního průmyslu.

Po analýze infikovaného flash disku výzkumníci zjistili, že se červ šíří do nových zařízení prostřednictvím škodlivého souboru .LNK. Jakmile oběť připojí USB disk, červ spustí nový proces prostřednictvím souboru cmd.exe a rozjede se.

Výzkumníci dále uvádějí, že k dosažení svého C2 serveru červ používá standardní instalační program společnosti Microsoft (msiexec.exe). Spekulují, že server je umístěn na kompromitovaném zařízení QNAP, přičemž jako další infrastruktura C2 se používají výstupní uzly TOR.

„Zatímco msiexec.exe stahuje a spouští legitimní instalační balíčky, útočníci jej využívají také k doručování malwaru,“ uvedla zpráva. „Raspberry Robin používá msiexec.exe k pokusům o vnější síťovou komunikaci se škodlivou doménou.“

Výzkumníci zatím tápou ohledně účelu malwaru. „Bez dalších informací o pozdějších fázích činnosti je obtížné vyvozovat závěry o cíli nebo cílech těchto kampaní,“ uvedli. Navíc zjistili, že instaluje škodlivý soubor DLL. Výzkumníci nezjistili, proč Raspberry Robin instaluje škodlivý soubor DLL. Jednou z hypotéz je, že jde o pokus o vytvoření perzistence v infikovaném systému, i když k potvrzení této hypotézy jsou zapotřebí další zkoumání.

Zdroj: Techradar.com