Forskere har opdaget en ny malware, der angriber Windows-enheder, men de er ikke helt klar over, hvordan den virker endnu.
Forskere inden for cybersikkerhed fra Red Canary har for nyligt opdaget en ny ormelignende malware, der spredes gennem inficerede USB-drev.
Den nye malware har endnu ikke fået et navn, men forskerne har knyttet den til en "gruppe af skadelige aktiviteter", som de har kaldt Raspberry Robin.
Raspberry Robin
Malwaren blev fundet i forskellige slutpunkter i flere netværk, der tilhører organisationer inden for teknologi- og fremstillingsindustrien.
Forskerne undersøgte en inficeret USB-nøgle og opdagede, at ormen spredes til nye enheder via en ondsindet .LNK-fil. Når offeret tilslutter USB-drevet, udløser ormen en ny proces gennem cmd.exe og kører filen.
For at nå ud til C2-serveren (angriberens hub) bruger ormen Microsoft Standard Installer (msiexec.exe). Forskerne mener, at serveren muligvis er hostet på en kompromitteret QNAP-enhed, hvor TOR-udførelsesnoder bruges som ekstra C2-infrastruktur.
"Selvom msiexec.exe downloader og kører legitime installationspakker, kan modparter også udnytte det til at levere malware," lyder rapporten. "Raspberry Robin bruger msiexec.exe i et forsøg på at etablere ekstern netværkskommunikation til et ondsindet domæne for at nå ud til C2."
Men hvad er hele pointen med malwaren? Forskerne kender endnu ikke svaret på det spørgsmål. "Da vi stadig mangler oplysninger om senere aktivitet, er det svært at drage konklusioner om målet eller målene," fortæller eksperterne.
Man har dog fundet ud af, at malware-softwaren installerer en skadelig DLL-fil sandsynligvis for at blive mere persistent.
"Vi ved heller ikke, hvorfor Raspberry Robin installerer en skadelig DLL," siger forskerne. "En hypotese er, at det kan være et forsøg på at blive mere persistent i et inficeret system, men der er brug for yderligere information for at understøtte denne hypotese."
Via: BleepingComputer
