D’après Microsoft, le ver Raspberry Robin est présent sur plusieurs centaines de réseaux

Le ver informatique Raspberry Robin se diffuse au travers de clés USB infectées et Microsoft l'a repéré au sein de plusieurs centaines de réseau informatique, notamment dans le secteur de l'industrie.

Initialement découvert par les équipes de Red Canary, ce ver informatique surnommé Raspberry Robin se propage d'une machine à une autre grâce aux les clés USB. Quand le logiciel malveillant est présent sur une clé USB, il va copier sur les machines Windows un fichier ".LNK" malveillant. Ensuite, quand le périphérique USB est connecté et que l'utilisateur clique sur le lien malveillant (fichier .LNK), le malware génère un processus msiexec utilisant cmd.exe pour lancer un fichier malveillant. Il parvient à contourner l'UAC de Windows en utilisant des outils légitimes, ce qui lui permet d'être plus difficilement détectable.

D'après Red Canary, ce ver informatique serait actif au moins depuis septembre 2021, et il s'appuie sur des NAS QNAP infectés en guise de serveurs C2, avec lesquels les communications s'effectuent via le réseau Tor. Les conclusions de Microsoft rejoignent celles de l'équipe de Red Canary, et l'entreprise américaine l'a détecté sur le réseau de plusieurs clients notamment dans les secteurs de la technologie et de l'industrie. Microsoft précise que pour communiquer avec les serveurs C2 et exécuter des charges malveillantes, Raspberry Robin s'appuie sur plusieurs outils légitimes intégrés à Windows : msiexec, odbcconf et fodhelper.

Enfin, il faut savoir que Microsoft a classé cette campagne comme étant à haut risque, car les attaquants sont en mesure de télécharger et déployer des malwares supplémentaires sur les réseaux des victimes, ce qui offre énormément de possibilités. Pour le moment, le groupe de cybercriminels derrière ces attaques n'a pas été identifié et il reste à déterminer l'objectif final de ces attaques, car ce n'est pas clair. Méfiance avec les périphériques USB.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3946 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.