Des questions sans réponse
Bien que les chercheurs aient observé divers processus et exécutions par l'activité malveillante, ils ont reconnu que ces observations ont laissé un certain nombre de questions sans réponse. L'équipe n'a pas encore compris comment et où Raspberry Robin infecte les lecteurs externes pour perpétuer son activité, bien qu'il soit probable que cette infection se produise hors ligne ou "autrement en dehors de notre visibilité", ont déclaré les chercheurs. Ils ne savent pas non plus pourquoi Raspberry Robin installe une DLL malveillante, mais ils pensent que c'est peut-être pour tenter d'établir la persistance sur un système infecté - bien qu'il n'y ait pas assez de preuves pour que cela soit concluant, ont reconnu les chercheurs.
Cependant, le plus grand point d'interrogation entourant le ver est l'objectif des acteurs de la menace derrière lui, ont déclaré les chercheurs. "En l'absence d'informations supplémentaires sur les activités ultérieures, il est difficile de faire des déductions sur l'objectif ou les objectifs de ces campagnes, il est donc indispensable de protéger vos disque externes en installant un VPN sur votre routeur ou un antivirus sur votre système d’exploitation, cela protège d’une manière remarquable vos données privés", ont-ils reconnu.
Accès initial et exécution
Selon les chercheurs, les lecteurs amovibles infectés, généralement des périphériques USB, introduisent le ver Raspberry Robin sous la forme d'un raccourci de fichier LNK se faisant passer pour un dossier légitime sur le périphérique USB infecté. Les fichiers LNK sont des raccourcis Windows qui pointent vers et sont utilisés pour ouvrir un autre fichier, dossier ou application.
Peu après la connexion du lecteur infecté au système, le ver met à jour l'entrée de registre UserAssist et enregistre l'exécution d'une valeur chiffrée ROT13 faisant référence à un fichier LNK lorsqu'elle est déchiffrée. Par exemple, les chercheurs ont observé que la valeur q:\erpbirel.yax était déchiffrée en d:\recovery.lnk, ont-ils écrit.
L'exécution commence lorsque Raspberry Robin utilise cmd.exe pour lire et exécuter un fichier stocké sur le disque externe infecté, indiquent les chercheurs. "La commande est cohérente dans toutes les détections de Raspberry Robin que nous avons vues jusqu'à présent, ce qui en fait une preuve précoce fiable de l'activité potentielle du [ver]", ont-ils noté. Dans la phase d'exécution suivante, cmd.exe lance généralement explorer.exe et msiexec.exe. La ligne de commande du premier peut être une référence en majuscules mixtes à un dispositif externe, un nom de personne, comme LAUREN V, ou le nom du fichier LNK, ont indiqué les chercheurs.
Le ver "utilise également de manière intensive des lettres en majuscules et en minuscules dans ses commandes", très probablement pour éviter la détection, ajoutent les chercheurs.
Exécution secondaire
Raspberry Robin utilise le deuxième exécutable lancé, msiexec.exe , pour tenter une communication réseau externe vers un domaine malveillant à des fins de commande et de contrôle, ont révélé les chercheurs. Dans plusieurs exemples d'activité que les chercheurs ont observés, le ver a utilisé msiexec.exe pour installer un fichier DLL malveillant bien que, comme mentionné précédemment, ils ne soient toujours pas certains de l'objectif de la DLL.
Le ver utilise également msiexec.exe pour lancer un utilitaire Windows légitime, fodhelper.exe, qui à son tour génère rundll32.exe pour exécuter une commande malveillante, ont-ils observé.
"Les processus lancés par fodhelper.exe s'exécutent avec des privilèges administratifs élevés sans nécessiter d'invite de contrôle de compte d'utilisateur", notent les chercheurs. Comme il s'agit d'un comportement inhabituel pour l'utilitaire, cette activité peut être utilisée pour détecter la présence de Raspberry Robin sur une machine infectée, ont-ils ajouté.
La commande rundll32.exe lance ensuite un autre utilitaire Windows légitime, odbcconf.exe, et transmet des commandes supplémentaires pour exécuter et configurer le fichier DLL malveillant récemment installé.