I ricercatori di sicurezza di Red Canary hanno scoperto un nuovo malware diffuso attraverso unità USB rimovibili che sfrutta Windows Installer per raggiungere i domini associati a QNAP e scaricare una DLL dannosa.
Identificato con il nome di Raspberry Robin, è stato osservato per la prima volta a settembre del 2021 (sebbene la maggior parte delle attività correlate si sia verificata durante o dopo il gennaio 2022) ed è riconducibile a tutta una serie di attività dannose contro diverse organizzazioni del settore produttivo e tecnologico.
Raspberry Robin viene in genere introdotto tramite unità rimovibili infette, spesso dispositivi USB, tramite le quali viene inserito un file dannoso di collegamento mascherato da una cartella legittima sul dispositivo USB infetto.
Il worm, sfruttando Windows Installer, si connette ai server C2 delle macchine remote che consentono di assumere il controllo del computer bersaglio, impartendo comandi, installando e avviando programmi dannosi. Il server C2 connesso al malware risiederebbe su dispositivi QNAP compromessi, sfruttando i nodi di uscita TOR come altra infrastruttura di controllo e utilizzando richieste HTTP che contengono i nomi utente e dispositivo di una vittima.
Gli esperti spiegano di non avere ancora il quadro completo intorno a questo malware né quale sia lo scopo dei cyber criminali dietro Raspberry Robin.
“Innanzitutto, non sappiamo come o dove Raspberry Robin infetti le unità esterne per perpetuare la sua attività, anche se è probabile che ciò avvenga offline o comunque al di fuori della nostra visibilità. Inoltre, non sappiamo perché Raspberry Robin installa una DLL dannosa. Un’ipotesi è che possa essere un tentativo di stabilire la persistenza su un sistema infetto, sebbene siano necessarie ulteriori informazioni per creare fiducia in tale ipotesi”, si legge nell’analisi di Red Canary.
“Forse la nostra domanda più grande riguarda gli obiettivi degli operatori. In assenza di ulteriori informazioni sull’attività nella fase successiva, è difficile fare inferenze sull’obiettivo o sugli obiettivi di queste campagne. Nonostante ciò, speriamo che queste informazioni siano utili per informare gli sforzi più ampi per tracciare e rilevare meglio l’attività di Raspberry Robin. Ci auguriamo di avviare una conversazione che aiuterà l’intera comunità a saperne di più su questa minaccia”, concludono i ricercatori.
https://redcanary.com/blog/raspberry-robin/
