Un dangereux ver Windows s’est introduit dans des centaines de réseaux d’entreprise, a découvert Microsoft.
Tel que rapporté par BipOrdinateurle géant de Redmond a notifié en privé les entreprises abonnées à Microsoft Defender pour Endpoint (s’ouvre dans un nouvel onglet) de ses conclusions. L’avis de sécurité a expliqué que, bien que le malware (nommé Raspberry Robin) n’ait pas encore été exploité, il a été observé se connectant à plusieurs adresses sur le réseau Tor.
Raspberry Robin a été identifié pour la première fois à la fin de l’année dernière, lorsque des chercheurs de Red Canary ont découvert un « groupe d’activités malveillantes ». Le logiciel malveillant est généralement distribué hors ligne, via des clés USB infectées. Après avoir analysé une clé USB infectée, les chercheurs ont découvert que le ver se propageait à de nouveaux appareils via un fichier .LNK malveillant.
Menace inconnue
Une fois que la victime branche la clé USB, le ver déclenche un nouveau processus via cmd.exe et exécute le fichier sur le terminal compromis. (s’ouvre dans un nouvel onglet).
Pour atteindre son serveur de commande et de contrôle (C2), précisent les chercheurs, le ver utilise Microsoft Standard Installer (msiexec.exe). Ils spéculent sur le serveur (s’ouvre dans un nouvel onglet) est hébergé sur un périphérique NAS QNAP compromis, les nœuds de sortie TOR étant utilisés comme infrastructure C2 supplémentaire.
Les experts en cybersécurité de Sekoia l’ont également observé en utilisant des appareils NAS QNAP comme serveurs C2 à la fin de l’année dernière.
« Alors que msiexec.exe télécharge et exécute des packages d’installation légitimes, les adversaires l’utilisent également pour diffuser des logiciels malveillants », indique le rapport. « Raspberry Robin utilise msiexec.exe pour tenter une communication réseau externe vers un domaine malveillant à des fins C2. »
Les chercheurs n’ont pas encore attribué le logiciel malveillant à un acteur menaçant spécifique et ne savent pas exactement quel est l’objectif du logiciel malveillant. À l’heure actuelle, comme il n’est pas utilisé activement, tout le monde peut le deviner.
« Nous ne savons pas non plus pourquoi Raspberry Robin installe une DLL malveillante », ont déclaré les chercheurs il y a quelques mois. « Une hypothèse est qu’il peut s’agir d’une tentative d’établir la persistance sur un système infecté, bien que des informations supplémentaires soient nécessaires pour renforcer la confiance dans cette hypothèse. »
- Gardez une trace du trafic entrant et sortant avec les meilleurs pare-feu autour
Via BleepingComputer (s’ouvre dans un nouvel onglet)