Исследователи в области кибербезопасности обнаружили новую вредоносную программу для Windows, обладающую функциональными возможностями червя. Интересно, что зловред распространяется давно забытым способом — через USB-накопители.
Специалисты Red Canary, назвавшие вредонос «Raspberry Robin», отметили в отчёте следующее:
«Червь использует установщик Windows (Windows Installer) для доступа к QNAP-доменам и загрузки вредоносной DLL».
Компании операторов вредоносной программы стартовали приблизительно в сентябре 2021 года. Именно тогда образцы Raspberry Robin стали попадаться в сетях организаций, работающих в промышленной и технологической сферах.
Вся цепочка заражения Raspberry Robin опирается на подключение заражённого USB-накопителя к компьютеру, работающему на Windows. Вредонос предстаёт в виде файла-ярлыка — .LNK, но на самом деле запускает пейлоад.
Далее червь задействует cmd.exe для чтения и выполнения вредоносного файла, после чего в ход идут explorer.exe и msiexec.exe, последний из которых используется для внешних сетевых коммуникаций.
Исследователи пока не объяснили, как и когда именно «флешка» заражается, но есть подозрение, что это происходит в офлайн-режиме, не из Сети.