Raspberry Robin: Microsoft ostrzega przed niebezpiecznym robakiem infekującym wiele sieci Windows

Walka dobra ze złem trwa, jeśli chodzi o przestrzeń cyberbezpieczeństwa. Regularnie słyszymy o nowych exploitach wykorzystywanych przez atakujących, a także o tworzonych przeciwko nim obronie na zasadzie reaktywnej i proaktywnej. Teraz firma Microsoft opublikowała prywatne biuletyny dotyczące niebezpiecznego robaka, który infekuje setki korporacyjnych sieci Windows.

Szkodliwe oprogramowanie, nazwane Raspberry Robin, rozprzestrzenia się za pośrednictwem zainfekowanych urządzeń USB zawierających plik. LNK. Gdy tylko użytkownik kliknie na ten plik, robak tworzy proces msiexec.exe za pomocą wiersza poleceń i uruchamia kolejny złośliwy plik. Następnie kontaktuje się z serwerami dowodzenia i kontroli za pomocą krótkiego adresu URL. Jeśli połączenie się powiedzie, pobiera i instaluje kilka innych złośliwych bibliotek DLL, które następnie próbują skontaktować się z węzłami TOR.

Należy zauważyć, że Raspberry Robin nie jest nowym złośliwym oprogramowaniem. Po raz pierwszy został odkryty przez kilku ekspertów ds. Bezpieczeństwa w 2021 roku, a Microsoft widział nawet dowody na jego użycie w 2019 roku.

Według Bleeping Computer , Microsoft obecnie prywatnie informuje subskrybentów programu Defender for Endpoint o zagrożeniach stwarzanych przez Raspberry Robina. Zauważył również, że robak został znaleziony w setkach sieci Windows w różnych sektorach.

Jednak bardzo interesujące jest to, że chociaż zainfekowane maszyny komunikują się z siecią Tor, osoby atakujące stojące za Raspberry Robinem nie wykorzystały jeszcze tego exploita, aby uzyskać dostęp do poufnych informacji lub wdrożyć oprogramowanie ransomware. Mogą to łatwo zrobić, biorąc pod uwagę, że początkowe ładunki, które pobierają, mogą zostać użyte do ominięcia Kontroli konta użytkownika (UAC) przez niewłaściwe użycie narzędzi systemu Windows. Dlatego obecnie nie wiadomo, która grupa zagrożeń używa Raspberry Robina i jaki jest ich ostateczny cel. Jednak biorąc pod uwagę możliwość eskalacji tego zagrożenia i fakt, że rozprzestrzenia się ono dość szybko, Microsoft oznaczył je na razie jako kampanię wysokiego ryzyka.

Źródło: piszczący komputer