Microsoft acaba de publicar un aviso oficial de inteligencia privada que informa a las organizaciones sobre un gusano conocido como la amenaza Raspberry Robin. Según se informa, la amenaza ha infectado cientos de redes Windows diferentes.
La amenaza Raspberry Robin y cómo viajó a través de USB infectados
Según lo informado por pitidocomputadora, Raspberry Robin viaja a través de dispositivos USB infectados y así es como se propaga. Para que la amenaza se propague, aún es necesario que el usuario inserte un dispositivo USB y haga clic en un archivo malicioso.
El archivo es un archivo .LNK y, después de esto, el gusano usa el comando de Windows para solicitar poder iniciar un proceso msiexec. Después de esto, ejecuta un archivo malicioso que también se encuentra en el dispositivo.
Los servidores de comando y control utilizaron URL cortas
Según el relato de Revista PC, luego se establece una conexión con un servidor de comando y control mediante la URL corta. Si esto tiene éxito, se descargan e instalan varios archivos maliciosos DLL diferentes.
Odbcconf.exe es una utilidad legítima de Windows que se utiliza para ejecutar las DLL. Luego, el gusano intenta conectarse repetidamente con diferentes nodos de la red Tor.
El verdadero peligro radica en cómo los creadores del malware aprovecharían la red de Windows infectada
Se dice que algunos de los “servidores de comando y control” que supuestamente se están utilizando son dispositivos NAS de QNAP infectados. El verdadero peligro es que quien haya podido implementar con éxito Raspberry Robin todavía tiene que “aprovechar la red de Windows infectada”.
El malware introducido por el gusano es capaz de eludir el Control de cuentas de usuario (UAC) de Windows y ya ha podido demostrar que puede utilizar las utilidades disponibles en el sistema operativo.
El objetivo de la amenaza Raspberry Robin sigue siendo desconocido
Aunque el objetivo de Raspberry Robin sigue siendo desconocido, el control que ejerce sobre la red significa que se puede descargar e implementar nuevo malware fácilmente y de manera muy rápida.
Microsoft ya ha señalado a Raspberry Robin, calificándola de “campaña de alto riesgo” con razón. Por ahora, no parece haber ningún otro proceso de mitigación detectado aparte de conectar el USB sospechoso directamente a una red de Windows.
Las observaciones de la amenaza Raspberry Robin comenzaron en septiembre de 2021
canario rojo, el analista de inteligencia, elaboró un informe detallado sobre el gusano ya en mayo. El informe ofrece una mirada más profunda a cómo funciona el gusano.
Según el informe, el malware fue detectado inicialmente en septiembre de 2021 por los analistas de inteligencia de Red Canary. Sekoia, una empresa de ciberseguridad, también lo estaba observando y utilizó los servidores de los dispositivos NAS de QNAP al principio. Noviembre.
Microsoft señala que los artefactos maliciosos que estaban vinculados a la creación del gusano se remontan a 2019.
ⓒ 2023 . .
