Специалисты по кибербезопасности из Red Canary рассказали о новом вирусе Raspberry Robin, который распространяется на компьютеры с Windows при подключении зараженного USB-накопителя, содержащего вредоносный файл .LNK.
После подключения червь порождает новый процесс с помощью cmd.exe для запуска вредоносного файла, хранящегося на зараженном диске.
Он использует стандартный установщик Microsoft (msiexec.exe) для связи со своими серверами командования и управления (C2), которые, вероятно, размещены на взломанных устройствах QNAP и используют узлы выхода TOR в качестве дополнительной инфраструктуры C2.
Хотя исследователи еще не выяснили, обеспечивает ли он устойчивость и какими методами, они подозревают, что вредоносная программа устанавливает вредоносный DLL-файл [1, 2] на скомпрометированные машины, чтобы противостоять своему удалению между перезагрузками.
Raspberry Robin запускает эту DLL с помощью двух других легитимных утилит Windows: fodhelper (доверенный двоичный файл для управления функциями в настройках Windows) и odbcconf (инструмент для настройки драйверов ODBC).
Первая позволяет обойти User Account Control (UAC), а вторая помогает выполнить и настроить DLL.
Хотя аналитики Red Canary смогли внимательно изучить, что делает вновь обнаруженный вирус на зараженных системах, все еще остается несколько вопросов, требующих ответа.
Поскольку нет никакой информации о конечных вредоносных задачах этой вредоносной программы, еще один вопрос, требующий ответа, — какова цель операторов Raspberry Robin.
Источник статьи: www.ferra.ru
Комментарии: