Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert un nouveau malware Windows avec des capacit\u00e9s de type ver et se propageant au moyen de p\u00e9riph\u00e9riques USB amovibles.<\/p>\n
Attribuer le malware \u00e0 un cluster nomm\u00e9 “Rouge-gorge Framboise<\/b>“, les chercheurs de Red Canary c’est not\u00e9<\/a> que le ver “utilise Windows Installer pour atteindre les domaines associ\u00e9s \u00e0 QNAP et t\u00e9l\u00e9charger une DLL malveillante”.<\/p>\n Les premiers signes de l’activit\u00e9 remonteraient \u00e0 septembre 2021, avec des infections observ\u00e9es dans des organisations li\u00e9es aux secteurs de la technologie et de la fabrication.<\/p>\n Les cha\u00eenes d’attaque relatives \u00e0 Raspberry Robin commencent par connecter une cl\u00e9 USB infect\u00e9e \u00e0 une machine Windows. La charge utile du ver est pr\u00e9sente dans l’appareil, qui appara\u00eet sous la forme d’un fichier de raccourci .LNK vers un dossier l\u00e9gitime.<\/p>\n Le ver se charge ensuite de g\u00e9n\u00e9rer un nouveau processus en utilisant cmd.exe pour lire et ex\u00e9cuter un fichier malveillant stock\u00e9 sur le disque externe.<\/p>\n Ceci est suivi par le lancement de explorer.exe et msiexec.exe, ce dernier \u00e9tant utilis\u00e9 pour la communication r\u00e9seau externe vers un domaine non autoris\u00e9 \u00e0 des fins de commande et de contr\u00f4le (C2) et pour t\u00e9l\u00e9charger et installer un fichier de biblioth\u00e8que DLL.<\/p>\n La DLL malveillante est ensuite charg\u00e9e et ex\u00e9cut\u00e9e \u00e0 l’aide d’une cha\u00eene d’utilitaires Windows l\u00e9gitimes tels que fodhelper.exe, rundll32.exe \u00e0 rundll32.exe et odbcconf.exe. contourner le contr\u00f4le de compte d’utilisateur<\/a> (UAC).<\/p>\n La pr\u00e9sence de contacts C2 sortants impliquant les processus regsvr32.exe, rundll32.exe et dllhost.exe vers les adresses IP associ\u00e9es aux n\u0153uds Tor est \u00e9galement courante dans les d\u00e9tections de Raspberry Robin.<\/p>\n Cela dit, les objectifs des op\u00e9rateurs restent \u00e0 ce stade sans r\u00e9ponse. On ne sait pas non plus comment et o\u00f9 les disques externes sont infect\u00e9s, bien que l’on soup\u00e7onne qu’ils sont effectu\u00e9s hors ligne.<\/p>\n “Nous ne savons pas non plus pourquoi Raspberry Robin installe une DLL malveillante”, ont d\u00e9clar\u00e9 les chercheurs. “Une hypoth\u00e8se est qu’il pourrait s’agir d’une tentative d’\u00e9tablissement de la persistance sur un syst\u00e8me infect\u00e9.”<\/p>\n <\/p>\n<\/div>\n![\"Rouge-gorge](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1651839031_832_Des-chercheurs-mettent-en-garde-contre-la-propagation-du-logiciel.jpg\" "\\"Rouge-gorge")
<\/div>\n