Cybersecurity-Forscher haben eine neue Windows-Malware mit wurmähnlichen Fähigkeiten entdeckt, die sich über USB-Wechseldatenträger verbreitet.
Die Forscher von Red Canary schreiben die Malware einem Cluster namens „Raspberry Robin“ zu und stellen fest, dass der Wurm „Windows Installer nutzt, um QNAP-assoziierte Domänen zu erreichen und eine bösartige DLL herunterzuladen“.
Die ersten Anzeichen des Wurms werden auf September 2021 datiert, wobei Infektionen in Unternehmen mit Verbindungen zum Technologie- und Fertigungssektor beobachtet wurden.
Die Angriffsketten für den Raspberry Robin beginnen mit dem Anschluss eines infizierten USB-Laufwerks an einen Windows-Rechner. Auf dem Gerät befindet sich die Nutzlast des Wurms, die als .LNK-Verknüpfungsdatei in einem legitimen Ordner erscheint.
Der Wurm sorgt dann dafür, dass ein neuer Prozess mit cmd.exe gestartet wird, der eine bösartige Datei auf dem externen Laufwerk liest und ausführt.
Danach werden explorer.exe und msiexec.exe gestartet, wobei letztere für die externe Netzwerkkommunikation mit einer bösartigen Domäne für Command-and-Control-Zwecke (C2) und zum Herunterladen und Installieren einer DLL-Bibliotheksdatei verwendet wird.
Die bösartige DLL wird anschließend über eine Kette legitimer Windows-Dienstprogramme wie fodhelper.exe, rundll32.exe bis rundll32.exe und odbcconf.exe geladen und ausgeführt, wodurch die Benutzerkontensteuerung (UAC) effektiv umgangen wird.
Eine weitere Gemeinsamkeit der bisher entdeckten Raspberry Robin ist der ausgehende C2-Kontakt mit den Prozessen regsvr32.exe, rundll32.exe und dllhost.exe zu IP-Adressen, die mit Tor-Knoten verbunden sind.
Das bedeutet, dass die Ziele der Betreiber zum jetzigen Zeitpunkt noch unbeantwortet sind. Es ist auch unklar, wie und wo die externen Laufwerke infiziert werden, aber es wird vermutet, dass dies offline geschieht.
„Wir wissen auch nicht, warum Raspberry Robin eine bösartige DLL installiert“, so die Forscher. „Eine Hypothese ist, dass dies ein Versuch sein könnte, sich auf einem infizierten System zu halten.