Un malware vermifuge basé sur une clé USB cible l'installateur de Windows

morelle Par Le 2022-07-12

Des chercheurs ont découvert que des logiciels malveillants, baptisés Raspberry Robin, sont actifs depuis septembre dernier et se frayent un chemin à travers les clés USB jusqu'aux machines Windows pour utiliser Microsoft Standard Installer et d'autres processus légitimes afin d'installer des fichiers malveillants.

Les chercheurs de Red Canary Intelligence ont commencé à suivre l'activité malveillante à l'automne, lorsqu'une poignée de détections présentant des caractéristiques similaires ont été observées pour la première fois dans les environnements de plusieurs clients par Jason Killam de l'équipe d'ingénierie de détection de Red Canary. Une fois que le ver s'est propagé sur la machine de quelqu'un via une clé USB, l'activité s'appuie sur msiexec.exe pour appeler son infrastructure - qui est souvent composée de périphériques QNAP - en utilisant des requêtes HTTP qui contiennent les noms d'utilisateur et de périphérique de la victime, ont écrit Lauren Podber et Stef Rand de Red Canary dans un billet de blog publié jeudi.

Les chercheurs ont également observé que Raspberry Robin utilisait des nœuds de sortie TOR comme infrastructure de commande et de contrôle (C&C) supplémentaire, ont-ils écrit. Le ver finit par installer des fichiers de bibliothèque de liens dynamiques (DLL) malveillants trouvés sur la clé USB infectée. Bien que les chercheurs aient remarqué Raspberry Robin dès septembre 2021, la plupart des activités observées par Red Canary se sont déroulées en janvier de cette année, indiquent les chercheurs.

7c411727cf2d7631aaab0aeaca5c6a92

 

Des questions sans réponse

Bien que les chercheurs aient observé divers processus et exécutions par l'activité malveillante, ils ont reconnu que ces observations ont laissé un certain nombre de questions sans réponse. L'équipe n'a pas encore compris comment et où Raspberry Robin infecte les lecteurs externes pour perpétuer son activité, bien qu'il soit probable que cette infection se produise hors ligne ou "autrement en dehors de notre visibilité", ont déclaré les chercheurs. Ils ne savent pas non plus pourquoi Raspberry Robin installe une DLL malveillante, mais ils pensent que c'est peut-être pour tenter d'établir la persistance sur un système infecté - bien qu'il n'y ait pas assez de preuves pour que cela soit concluant, ont reconnu les chercheurs.

Cependant, le plus grand point d'interrogation entourant le ver est l'objectif des acteurs de la menace derrière lui, ont déclaré les chercheurs. "En l'absence d'informations supplémentaires sur les activités ultérieures, il est difficile de faire des déductions sur l'objectif ou les objectifs de ces campagnes, il est donc indispensable de protéger vos disque externes en installant un VPN sur votre routeur ou un antivirus sur votre système d’exploitation, cela protège d’une manière remarquable vos données privés", ont-ils reconnu.

 

Accès initial et exécution

Selon les chercheurs, les lecteurs amovibles infectés, généralement des périphériques USB, introduisent le ver Raspberry Robin sous la forme d'un raccourci de fichier LNK se faisant passer pour un dossier légitime sur le périphérique USB infecté. Les fichiers LNK sont des raccourcis Windows qui pointent vers et sont utilisés pour ouvrir un autre fichier, dossier ou application.

Peu après la connexion du lecteur infecté au système, le ver met à jour l'entrée de registre UserAssist et enregistre l'exécution d'une valeur chiffrée ROT13 faisant référence à un fichier LNK lorsqu'elle est déchiffrée. Par exemple, les chercheurs ont observé que la valeur q:\erpbirel.yax était déchiffrée en d:\recovery.lnk, ont-ils écrit.

L'exécution commence lorsque Raspberry Robin utilise cmd.exe pour lire et exécuter un fichier stocké sur le disque externe infecté, indiquent les chercheurs. "La commande est cohérente dans toutes les détections de Raspberry Robin que nous avons vues jusqu'à présent, ce qui en fait une preuve précoce fiable de l'activité potentielle du [ver]", ont-ils noté. Dans la phase d'exécution suivante, cmd.exe lance généralement explorer.exe et msiexec.exe. La ligne de commande du premier peut être une référence en majuscules mixtes à un dispositif externe, un nom de personne, comme LAUREN V, ou le nom du fichier LNK, ont indiqué les chercheurs.

Le ver "utilise également de manière intensive des lettres en majuscules et en minuscules dans ses commandes", très probablement pour éviter la détection, ajoutent les chercheurs.

 

Exécution secondaire

Raspberry Robin utilise le deuxième exécutable lancé, msiexec.exe , pour tenter une communication réseau externe vers un domaine malveillant à des fins de commande et de contrôle, ont révélé les chercheurs. Dans plusieurs exemples d'activité que les chercheurs ont observés, le ver a utilisé msiexec.exe pour installer un fichier DLL malveillant bien que, comme mentionné précédemment, ils ne soient toujours pas certains de l'objectif de la DLL.

Le ver utilise également msiexec.exe pour lancer un utilitaire Windows légitime, fodhelper.exe, qui à son tour génère rundll32.exe pour exécuter une commande malveillante, ont-ils observé.

"Les processus lancés par fodhelper.exe s'exécutent avec des privilèges administratifs élevés sans nécessiter d'invite de contrôle de compte d'utilisateur", notent les chercheurs. Comme il s'agit d'un comportement inhabituel pour l'utilitaire, cette activité peut être utilisée pour détecter la présence de Raspberry Robin sur une machine infectée, ont-ils ajouté.

La commande rundll32.exe lance ensuite un autre utilitaire Windows légitime, odbcconf.exe, et transmet des commandes supplémentaires pour exécuter et configurer le fichier DLL malveillant récemment installé.