Skip to main content

Farlig ny malware angriper Windows-enheter via infiserte minnepinner

Nærbilde av en finger som trykker på en Windows-tast
(Foto: Shutterstock)

Forskere har funnet ny malware som angriper Windows-enheter, men det er ennå uklart hvordan den nye skadevaren fungerer.

Sikkerhetsforskere fra Red Canary oppdaget nylig ny dataorm-lignende programvare som sprer seg fysisk, via infiserte minnepinner.

Forskerne har ikke gitt skadevaren noe spesifikt navn, men mener å vite at den sammenfaller med «[...] en gruppering med skadelig aktivitet» som går under tilnavnet Raspberry Robin.

Raspberry Robin

Skadevaren ble funnet hos forskjellige sluttbrukere i en rekke forskjellige nettverk eid av organisasjoner innen teknologi- og produksjon.

Etter å ha analysert en infisert minnepinne fant forskerne ut at dataormen sprer seg til nye enheter via en ondsinnnet .LNK-fil. Når offeret plugger USB-enheten inn i porten setter ormen i gang en prosess via cmd.exe (Windows-terminalen) og kjører filen.

For å kunne nå ut til C2-serveren (en angripers knutepunkt) tar ormen i bruk Microsoft Standard Installer-programvaren (msiexec.exe). Forskerne lurer nå på om hvorvidt serveren består i en kompromittert QNAP-enhet, med TOR-gatewayer brukt som C2-infrastruktur.

«Selv om Msiexec.exe normalt sett laster ned og kjører legitime installasjonspakker, kan motparter også bruke disse til å levere malware», står det skrevet i rapporten. «Raspberry Robin bruker msiexec.exe til å prøve å etablere ekstern nettverkskommunikasjon til et ondsinnet domene for å nå en C2.»

Et av de store gjenværende spørsmålene som må besvares er det følgende: Hva er vitsen med skadevaren? Forskerne har ennå ikke fått innsikt i hva programvaren brukes til. «Uten mer informasjon om aktivitet på et senere stadium er det vanskelig å konkludere når det gjelder hvilke mål disse forsøkene har», sier en av ekspertene bak rapporten.

Det har likevel blitt klart at malware-programvaren installerer en DLL-fil, kanskje som et ledd i å «klamre seg fast» til enheten det gjelder.

«Vi vet heller ikke hvorfor Raspberry Robin installerer en ondsinnet DLL», sier forskerne. «Én hypotese er at det er et slags forsøk på å etablere seg permanent i et infisert system, men mer informasjon må til for å underbygge denne hyptotesen.»

Kilde: BleepingComputer (opens in new tab)

John er utdannet innen elektronikk, film og journalistikk. Han skrev sitt første script på en HP Vectra (386) i en æra da det var kult å laste ned Sierra-spill fra BBS-er. John er teknologifiksert til tusen, men har en spesiell forkjærlighet for datamaskiner med overdådige skjermkort, kameraer og lydprodukter. Som norsk redaktør tar han seg av det meste som har å gjøre med den daglige driften av TechRadar.

Med bidrag fra