Windows : le ver Raspberry Robin se propage à l’aide des clés USB !
Les analystes de Red Canary ont découvert un nouveau logiciel malveillant pour Windows, qui se propage à l'aide de clés USB et qui fonctionne comme un ver informatique. Faisons le point sur ce malware nommé Raspberry Robin.
Les équipes de Red Canary ont observé ce ver informatique sur le réseau de plusieurs entreprises, notamment dans le domaine de la technologie et de la fabrication. D'après eux, il serait actif au moins depuis septembre 2021. Pour se propager d'une machine à une autre, Raspberry Robin s'appuie sur les clés USB. Résultat, une clé USB infectée va copier sur les machines Windows un fichier ".LNK" malveillant. À partir du moment où il est en place sur une machine Windows, le ver génère un nouveau processus "cmd.exe" pour lancer un fichier malveillant.
Pour installer d'autres souches malveillantes sur la machine, il utilise des outils intégrés à Windows, notamment "msiexec.exe" qu'il utilise pour contacter des serveurs C2 (Command & Control). Dans le cadre de ces attaques, les serveurs C2 prennent la forme de NAS QNAP compromis. Raspberry Robin utilise aussi des nœuds de sortie TOR dans son infrastructure C2. Cette connexion réussie, le malware procède au téléchargement et à l'installation de bibliothèques DLL malveillantes sur la machine locale, et elles sont ensuite exécutées.
Pour le moment, il reste quelques zones d'ombres d'après les analystes de Red Canary. Tout d'abord, ils expliquent qu'ils ne savent pas comment ni où Raspberry Robin infecte les périphériques USB externes pour perpétuer son activité. Ils précisent : "il est probable que cela se passe hors ligne ou en dehors de notre champ de visibilité". On peut imaginer que le ver se met en place lorsqu'un périphérique USB est connecté à une machine infectée. Le rôle des DLL n'est pas clair également, mais cela pourrait être pour être persistant sur une machine Windows infectée.
Le rapport complet de Red Canary est disponible à cette adresse : Raspberry Robin.
