Специалисты по кибербезопасности из Red Canary рассказали о новом вирусе Raspberry Robin, который распространяется на компьютеры с Windows при подключении зараженного USB-накопителя, содержащего вредоносный файл .LNK.

После подключения червь порождает новый процесс с помощью cmd.exe для запуска вредоносного файла, хранящегося на зараженном диске.

Он использует стандартный установщик Microsoft (msiexec.exe) для связи со своими серверами командования и управления (C2), которые, вероятно, размещены на взломанных устройствах QNAP и используют узлы выхода TOR в качестве дополнительной инфраструктуры C2.

Хотя исследователи еще не выяснили, обеспечивает ли он устойчивость и какими методами, они подозревают, что вредоносная программа устанавливает вредоносный DLL-файл [1, 2] на скомпрометированные машины, чтобы противостоять своему удалению между перезагрузками.

Raspberry Robin запускает эту DLL с помощью двух других легитимных утилит Windows: fodhelper (доверенный двоичный файл для управления функциями в настройках Windows) и odbcconf (инструмент для настройки драйверов ODBC).

Первая позволяет обойти User Account Control (UAC), а вторая помогает выполнить и настроить DLL.

Хотя аналитики Red Canary смогли внимательно изучить, что делает вновь обнаруженный вирус на зараженных системах, все еще остается несколько вопросов, требующих ответа.

Поскольку нет никакой информации о конечных вредоносных задачах этой вредоносной программы, еще один вопрос, требующий ответа, — какова цель операторов Raspberry Robin.

Источник статьи: www.ferra.ru