Un pericoloso worm Windows è entrato in centinaia di reti aziendali, ha scoperto Microsoft.
Come riportato da BleepingComputer, il colosso di Redmond ha notificato privatamente alle aziende che si iscrivono a Microsoft Defender for Endpoint (si apre in una nuova scheda) le sue scoperte. L'avviso di sicurezza ha spiegato che sebbene il malware (chiamato Raspberry Robin) non sia stato ancora sfruttato, è stato osservato connettersi a vari indirizzi sulla rete Tor.
Il Raspberry Robin è stato identificato per la prima volta alla fine dell'anno scorso quando i ricercatori di Red Canary hanno scoperto un "gruppo di attività dannose". Il malware viene solitamente distribuito offline, tramite unità USB infette. Dopo aver analizzato un'unità USB infetta, i ricercatori hanno scoperto che il worm si stava diffondendo su nuovi dispositivi tramite un file .LNK dannoso.
minaccia sconosciuta
Una volta che la vittima inserisce la chiave USB, il worm avvia un nuovo processo tramite cmd.exe ed esegue il file sul terminale compromesso (si apre in una nuova scheda).
Per raggiungere il suo server di comando e controllo (C2), dicono i ricercatori, il worm utilizza il programma di installazione standard di Microsoft (msiexec.exe). Presumono che il server (si apre in una nuova scheda) sia ospitato su un dispositivo QNAP NAS compromesso e che i nodi di uscita TOR siano utilizzati come infrastruttura C2 aggiuntiva.
Anche gli esperti di sicurezza informatica di Sekoia lo hanno osservato durante l'utilizzo dei dispositivi QNAP NAS come server C2 alla fine dell'anno scorso.
"Mentre msiexec.exe scarica ed esegue pacchetti di installazione legittimi, gli avversari lo utilizzano anche per distribuire malware", afferma il rapporto. "Raspberry Robin utilizza msiexec.exe per tentare la comunicazione da una rete esterna a un dominio dannoso per scopi C2."
I ricercatori non hanno ancora attribuito il malware a uno specifico attore della minaccia e non sono sicuri di quale sia esattamente l'obiettivo del malware. Al momento, poiché non viene utilizzato attivamente, chiunque può indovinare.
"Non sappiamo nemmeno perché Raspberry Robin installi una DLL dannosa", hanno detto i ricercatori alcuni mesi fa. "Un'ipotesi è che questo potrebbe essere un tentativo di stabilire la persistenza su un sistema infetto, anche se sono necessarie ulteriori informazioni per creare fiducia in questa ipotesi."
- Tieni traccia del traffico in entrata e in uscita con i migliori firewall sul mercato
Tramite BleepingComputer (si apre in una nuova scheda)