Tutkijat ovat havainneet uuden Windows-laitteisiin hyökkäävän haittaohjelman

Sormi painaa Windows-painiketta laitteessa

(Kuva: Shutterstock)

Tutkijat ovat löytäneet uuden Windows-laitteisiin hyökkäävän haittaohjelman, jonka toiminnasta he eivät ole kuitenkaan täysin tietoisia.

Red Canaryn kyberturvallisuustutkijat löysivät hiljattain uuden matomaisen haittaohjelman, joka leviää saastuneiden USB-asemien kautta.

Tutkijat eivät ole vielä kuitenkaan nimenneet haittaohjelmaa, vaan liittäneet sen osaksi "haitallisen aktiviteetin rypästä", jota he kutsuvat Raspberry Robiniksi.

Raspberry Robin

Haittaohjelma on löydetty useiden teknologia- ja teollisuusorganisaatioiden lähiverkkojen päätelaitteista.

Tutkittuaan saastuneen laitteen tutkijat huomasivat madon leviävän uusiin laitteisiin pahansuopaisen .LNK-tiedoston avulla. Kun uhri liittää USB-aseman koneeseen, mato käynnistää uuden prosessin cmd.exen kautta ja aktivoi tiedoston.

Heidän mukaan mato saavuttaa C2-palvelimet käyttämällä Microsoft Standard Installer -ohjelmaa (msiexec.exe). Spekulaation mukaan palvelin sijaitsee murretussa QNAP-laitteessa ja TOR-verkon exit node -solmuja käytetään ylimääräisenä C2-infrastruktuurina.

"Kun msiexec.exe lataa ja pyörittää aitoja latauspaketteja, haittatekijät hyödyntävät sitä samalla levittääkseen haittaohjelmia", raportissa kerrotaan. "Raspberry Robin käyttää msiexec.exeä tehdäkseen ulkoisia yhteydenottoja haitallisiin verkkosivuihin C2-käyttötarkoituksia varten."

Yksi tärkeimmistä kysymyksistä on silti edelleen vastaamatta: mikä haittaohjelman tarkoitus on?

"Koska meillä ei ole muita tietoja ohjelman loppupuolen aktiviteetista, meidän on vaikea päätellä sen tavoitetta tai tavoitteita", asiantuntijat sanoivat.

Tutkijoiden mukaan haittaohjelma asentaa haitallisen DLL-tiedoston todennäköisesti sen pysyvyyden takia.

"Emme myöskään tiedä, miksi Raspberry Robin asentaa saastuneen DLL:n. Yksi hypoteesi on se, että haittaohjelma pyrkii luomaan pysyvän sijainnin saastuneessa järjestelmässä. Mutta tarvitsemme lisätietoja voidaksemme varmistaa tämän hypoteesin", tutkijat kertoivat.

Suojaa koneesi näiden virustorjuntaohjelmien avulla
Haluatko turvata yksityisyytesi verkossa? Tutustu näihin parhaisiin VPN-palveluihin

Lähde: BleepingComputer

TOPICS

Joonas Pikkarainen on teknologia- ja pelitoimittaja, jolla on erityisen vahvat juuret juuri pelialan raportoinnista useissa eri kotimaisissa medioissa. Muihin kiinnostuksiin lukeutuvat valokuvaus, videotuotanto ja elokuvat, sekä oikeastaan kaikki muu siltä väliltä ja näiden lisäksi.

Alkuperäisteksti