Investigadores de ciberseguridad han descubierto un nuevo malware de Windows con capacidades similares a las de un gusano y se propaga por medio de dispositivos USB extra\u00edbles.<\/p>\n
Atribuir el malware a un grupo llamado “petirrojo frambuesa<\/b>investigadores de Red Canary anotado<\/a> que el gusano “aprovecha Windows Installer para llegar a los dominios asociados con QNAP y descargar una DLL maliciosa”.<\/p>\n Se dice que los primeros signos de la actividad se remontan a septiembre de 2021, con infecciones observadas en organizaciones vinculadas a los sectores tecnol\u00f3gico y manufacturero.<\/p>\n Las cadenas de ataque relacionadas con Raspberry Robin comienzan con la conexi\u00f3n de una unidad USB infectada a una m\u00e1quina con Windows. Presente dentro del dispositivo est\u00e1 la carga \u00fatil del gusano, que aparece como un archivo de acceso directo .LNK a una carpeta leg\u00edtima.<\/p>\n Luego, el gusano se encarga de generar un nuevo proceso usando cmd.exe para leer y ejecutar un archivo malicioso almacenado en la unidad externa.<\/p>\n A esto le sigue el lanzamiento de explorer.exe y msiexec.exe, el \u00faltimo de los cuales se usa para la comunicaci\u00f3n de red externa a un dominio no autorizado para fines de comando y control (C2) y para descargar e instalar un archivo de biblioteca DLL.<\/p>\n Posteriormente, la DLL maliciosa se carga y ejecuta mediante una cadena de utilidades leg\u00edtimas de Windows, como fodhelper.exe, rundll32.exe a rundll32.exe y odbcconf.exe, de manera eficaz. eludiendo el control de cuentas de usuario<\/a> (UAC).<\/p>\n Tambi\u00e9n es com\u00fan en las detecciones de Raspberry Robin la presencia de contactos C2 salientes que involucran los procesos regsvr32.exe, rundll32.exe y dllhost.exe a las direcciones IP asociadas con los nodos Tor.<\/p>\n Dicho esto, los objetivos de los operadores siguen sin respuesta en esta etapa. Tampoco est\u00e1 claro c\u00f3mo y d\u00f3nde se infectan las unidades externas, aunque se sospecha que se lleva a cabo sin conexi\u00f3n.<\/p>\n “Tampoco sabemos por qu\u00e9 Raspberry Robin instala una DLL maliciosa”, dijeron los investigadores. “Una hip\u00f3tesis es que puede ser un intento de establecer la persistencia en un sistema infectado”.<\/p>\n <\/p>\n<\/div>\n![\"petirrojo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/1651841284_709_Los-investigadores-advierten-sobre-la-propagacion-del-malware-Raspberry-Robin.jpg\" "\\"petirrojo")
<\/div>\n