Skip to main content

Tutkijat ovat havainneet uuden Windows-laitteisiin hyökkäävän haittaohjelman

Sormi painaa Windows-painiketta laitteessa
(Kuva: Shutterstock)

Tutkijat ovat löytäneet uuden Windows-laitteisiin hyökkäävän haittaohjelman, jonka toiminnasta he eivät ole kuitenkaan täysin tietoisia.

Red Canaryn kyberturvallisuustutkijat löysivät hiljattain uuden matomaisen haittaohjelman, joka leviää saastuneiden USB-asemien kautta.

Tutkijat eivät ole vielä kuitenkaan nimenneet haittaohjelmaa, vaan liittäneet sen osaksi "haitallisen aktiviteetin rypästä", jota he kutsuvat Raspberry Robiniksi.

Raspberry Robin

Haittaohjelma on löydetty useiden teknologia- ja teollisuusorganisaatioiden lähiverkkojen päätelaitteista.

Tutkittuaan saastuneen laitteen tutkijat huomasivat madon leviävän uusiin laitteisiin pahansuopaisen .LNK-tiedoston avulla. Kun uhri liittää USB-aseman koneeseen, mato käynnistää uuden prosessin cmd.exen kautta ja aktivoi tiedoston.

Heidän mukaan mato saavuttaa C2-palvelimet käyttämällä Microsoft Standard Installer -ohjelmaa (msiexec.exe). Spekulaation mukaan palvelin sijaitsee murretussa QNAP-laitteessa ja TOR-verkon exit node -solmuja käytetään ylimääräisenä C2-infrastruktuurina.

"Kun msiexec.exe lataa ja pyörittää aitoja latauspaketteja, haittatekijät hyödyntävät sitä samalla levittääkseen haittaohjelmia", raportissa kerrotaan. "Raspberry Robin käyttää msiexec.exeä tehdäkseen ulkoisia yhteydenottoja haitallisiin verkkosivuihin C2-käyttötarkoituksia varten."

Yksi tärkeimmistä kysymyksistä on silti edelleen vastaamatta: mikä haittaohjelman tarkoitus on?

"Koska meillä ei ole muita tietoja ohjelman loppupuolen aktiviteetista, meidän on vaikea päätellä sen tavoitetta tai tavoitteita", asiantuntijat sanoivat.

Tutkijoiden mukaan haittaohjelma asentaa haitallisen DLL-tiedoston todennäköisesti sen pysyvyyden takia.

"Emme myöskään tiedä, miksi Raspberry Robin asentaa saastuneen DLL:n. Yksi hypoteesi on se, että haittaohjelma pyrkii luomaan pysyvän sijainnin saastuneessa järjestelmässä. Mutta tarvitsemme lisätietoja voidaksemme varmistaa tämän hypoteesin", tutkijat kertoivat.

Lähde: BleepingComputer (opens in new tab)

Joonas Pikkarainen on teknologia- ja pelitoimittaja, jolla on erityisen vahvat juuret juuri pelialan raportoinnista useissa eri kotimaisissa medioissa. Muihin kiinnostuksiin lukeutuvat valokuvaus, videotuotanto ja elokuvat, sekä oikeastaan kaikki muu siltä väliltä ja näiden lisäksi.

Alkuperäisteksti