Un dangereux ver Windows s'est introduit dans des centaines de réseaux d'entreprise, a découvert Microsoft.
Tel que rapporté par BleepingComputer, le géant de Redmond a informé en privé les entreprises qui souscrivent à Microsoft Defender pour Endpoint (ouvre dans un nouvel onglet) de ses conclusions. L'avis de sécurité a expliqué que bien que le logiciel malveillant (appelé Raspberry Robin) n'ait pas encore été exploité, il a été observé se connectant à diverses adresses sur le réseau Tor.
Le Raspberry Robin a été identifié pour la première fois à la fin de l'année dernière lorsque les chercheurs de Red Canary ont découvert un "groupe d'activités malveillantes". Les logiciels malveillants sont généralement distribués hors ligne, via des clés USB infectées. Après avoir analysé une clé USB infectée, les chercheurs ont découvert que le ver se propageait à de nouveaux appareils via un fichier .LNK malveillant.
menace inconnue
Une fois que la victime a branché la clé USB, le ver lance un nouveau processus via cmd.exe et exécute le fichier sur le terminal compromis (s'ouvre dans un nouvel onglet).
Selon les chercheurs, pour atteindre son serveur de commande et de contrôle (C2), le ver utilise le programme d'installation standard de Microsoft (msiexec.exe). Ils supposent que le serveur (s'ouvre dans un nouvel onglet) est hébergé sur un périphérique NAS QNAP compromis et que les nœuds de sortie TOR sont utilisés comme infrastructure C2 supplémentaire.
Les experts en cybersécurité de Sekoia ont également observé cela lors de l'utilisation d'appareils NAS QNAP comme serveurs C2 à la fin de l'année dernière.
"Alors que msiexec.exe télécharge et exécute des packages d'installation légitimes, les adversaires l'utilisent également pour distribuer des logiciels malveillants", indique le rapport. "Raspberry Robin utilise msiexec.exe pour tenter de communiquer depuis un réseau externe vers un domaine malveillant à des fins C2."
Les chercheurs n'ont pas encore attribué le malware à un acteur menaçant spécifique et ne savent pas exactement ce que le malware cible. À l'heure actuelle, puisqu'il n'est pas utilisé activement, tout le monde peut le deviner.
"Nous ne savons pas non plus pourquoi Raspberry Robin installe une DLL malveillante", ont déclaré les chercheurs il y a quelques mois. "Une hypothèse est que cela pourrait être une tentative d'établir la persistance sur un système infecté, bien que des informations supplémentaires soient nécessaires pour renforcer la confiance dans cette hypothèse."
- Suivez le trafic entrant et sortant avec les meilleurs pare-feu du marché
Via BleepingComputer (Ouvre dans un nouvel onglet)