Gusano desagradable de Windows se propaga a cientos de redes a través de unidades USB infectadas

Gusano desagradable de Windows se propaga a cientos de redes a través de unidades USB infectadas

Un peligroso gusano de Windows ha entrado en cientos de redes corporativas, según ha descubierto Microsoft.

Según lo informado por BleepingComputer, el gigante de Redmond ha notificado en privado a las empresas que se suscriben a Microsoft Defender para Endpoint (se abre en una nueva pestaña) de sus hallazgos. El aviso de seguridad explicó que aunque el malware (llamado Raspberry Robin) aún no se ha explotado, se ha observado que se conecta a varias direcciones en la red Tor.

Raspberry Robin se identificó por primera vez a fines del año pasado cuando los investigadores de Red Canary descubrieron un "grupo de actividad maliciosa". El malware generalmente se distribuye fuera de línea, a través de unidades USB infectadas. Después de analizar una unidad USB infectada, los investigadores descubrieron que el gusano se estaba propagando a nuevos dispositivos a través de un archivo .LNK malicioso.

Amenaza desconocida

Una vez que la víctima conecta la llave USB, el gusano activa un nuevo proceso a través de cmd.exe y ejecuta el archivo en el terminal comprometido (se abre en una nueva pestaña).

Para llegar a su servidor de comando y control (C2), dicen los investigadores, el gusano usa el instalador estándar de Microsoft (msiexec.exe). Suponen que el servidor (se abre en una nueva pestaña) está alojado en un dispositivo NAS de QNAP comprometido, y los nodos de salida TOR se utilizan como infraestructura C2 adicional.

Los expertos en seguridad cibernética de Sekoia también observaron esto mientras usaban dispositivos NAS de QNAP como servidores C2 a fines del año pasado.

"Si bien msiexec.exe descarga y ejecuta paquetes de instalación legítimos, los adversarios también lo usan para distribuir malware", dice el informe. "Raspberry Robin está utilizando msiexec.exe para intentar la comunicación de una red externa a un dominio malicioso para propósitos de C2".

Los investigadores aún no han atribuido el malware a un actor de amenazas específico y no están seguros de cuál es exactamente el objetivo del malware. En la actualidad, dado que no se usa activamente, cualquiera puede adivinar.

"Tampoco sabemos por qué Raspberry Robin instala una DLL maliciosa", dijeron los investigadores hace unos meses. "Una hipótesis es que esto puede ser un intento de establecer la persistencia en un sistema infectado, aunque se necesita información adicional para generar confianza en esta hipótesis".

Через BleepingComputer (откроется в новой вкладке)