Llicències per a diversos dispositius (descomptes per volum)
Threat Database Worms Robin de gerds

Robin de gerds

El CagedTech el Worms, Malware
Traduir a:
Català

S'està utilitzant un programari maliciós amb capacitats semblants a un cuc en campanyes d'atac que afecten els sistemes Windows. Els investigadors de ciberseguretat han seguit l'amenaça i el seu grup d'activitat associat com a Raspberry Robin i "cuc QNAP". Segons els seus informes, l'operació Raspberry Robin es va notar el setembre de 2021, però la major part de l'activitat es va dur a terme al gener de 2022 i després. Les víctimes de l'amenaça s'han identificat com a empreses que operen en els sectors tecnològic i de fabricació, però potencialment hi podria haver ser també els altres. Cal destacar que, fins ara, no s'han confirmat els objectius dels actors de l'amenaça.

Explotant les eines legítimes de Windows

La cadena d'infecció del Raspberry Robin comença amb unitats extraïbles infectades, com ara dispositius USB. Aquestes unitats contenen el cuc Raspberry Robin en forma de fitxer de drecera .lnk, disfressat com una carpeta legítima. L'amenaça s'activa després que la unitat danyada estigui connectada a l'ordinador. Aprofita cmd.exe per llegir i executar un fitxer que es troba a la unitat externa infectada. Els investigadors han descobert que aquesta ordre és coherent entre diferents deteccions de Raspberry Robin i es pot utilitzar com a indicador de les activitats amenaçadores realitzades pel cuc.

Com a part de les seves accions, el programari maliciós aprofita àmpliament les utilitats legítimes de Windows. Explota msiexec.exe (instal·lador estàndard de Microsoft) per obtenir i executar un fitxer DLL compromès, juntament amb altres paquets d'instal·lació legítims. Es creu que el fitxer DLL té una funcionalitat relacionada amb la persistència i prové d'un domini de comandament i control (C2, C&C) danyat, probablement allotjat en dispositius QNAP compromesos. L'activitat C2 de sortida atribuïda a Raspberry Robin també s'ha observat mitjançant els processos de Windows regsvr32.exe, rundll32.exe i dllhost.exe. Els intents de connexió a la xarxa externa estaven dirigits a adreces IP dels nodes TOR.

El Raspberry Robin també obliga a msiexec.exe a llançar una altra utilitat de Windows real: fodhelper.exe. L'amenaça es basa en ella per generar rundll32.exe i iniciar una ordre amenaçadora. L'actor de l'amenaça va triar fodhelper.exe a causa de la seva capacitat per iniciar processos amb privilegis d'administrador elevats, sense activar un missatge de control de comptes d'usuari (UAC).

Tendència

Més vist

Carregant...