El nuevo gusano Raspberry Robin usa Windows Installer para descargar malware

Los analistas de inteligencia de Red Canary han descubierto un nuevo malware de Windows con capacidades de gusano que se propaga mediante unidades USB externas.

Este malware está vinculado a un grupo de actividad maliciosa denominado Raspberry Robin y se observó por primera vez en septiembre de 2021.

El equipo de Ingeniería de Detección de Red Canary detectó el gusano en las redes de múltiples clientes, algunos en los sectores de tecnología y manufactura.

Raspberry Robin se propaga a los nuevos sistemas Windows cuando se conecta una unidad USB infectada que contiene un archivo .LNK malicioso.

Una vez adjunto, el gusano genera un nuevo proceso utilizando cmd.exe para iniciar un archivo malicioso almacenado en el disco infectado.

Índice de contenidos
  1. Herramientas legítimas de Windows abusadas para instalar malware
  2. ¿Como y por qué?

Herramientas legítimas de Windows abusadas para instalar malware

Utiliza el instalador estándar de Microsoft (msiexec.exe) para comunicarse con sus servidores de comando y control (C2), probablemente alojados en dispositivos QNAP comprometidos y que usan nodos de salida TOR como infraestructura C2 adicional.

"Si bien msiexec.exe descarga y ejecuta paquetes de instalación legítimos, los adversarios también lo aprovechan para distribuir malware", dijeron los investigadores.

"Raspberry Robin usa msiexec.exe para intentar la comunicación de una red externa a un dominio malicioso para propósitos de C2".

Si bien aún no han encontrado si establece persistencia y a través de qué métodos, sospechan que el malware instala un archivo DLL malicioso. [1, 2] en máquinas comprometidas para resistir la eliminación entre reinicios.

Raspberry Robin lanza esta DLL con la ayuda de otras dos utilidades legítimas de Windows: fodhelper (un binario confiable para administrar funciones en la configuración de Windows) y odbcconf (una herramienta para configurar controladores ODBC).

El primero le permite eludir el Control de cuentas de usuario (UAC), mientras que el segundo ayudará a ejecutar y configurar la DLL.

Flujo de infección del gusano Raspberry Robin
Flujo de infección del gusano Raspberry Robin (canario rojo)

¿Como y por qué?

Si bien los analistas de Red Canary han podido inspeccionar de cerca lo que hace el recién descubierto en los sistemas infectados, todavía hay varias preguntas que deben responderse.

"En primer lugar, no sabemos cómo o dónde Raspberry Robin infecta las unidades externas para perpetuar su actividad, aunque es probable que esto ocurra fuera de línea o fuera de nuestra visibilidad. Tampoco sabemos por qué Raspberry Robin instala una DLL maliciosa, "dijeron los investigadores.

"Una hipótesis es que puede ser un intento de establecer la persistencia en un sistema infectado, aunque se requiere información adicional para generar confianza en esa hipótesis".

Dado que no hay información sobre las tareas maliciosas de etapa final de este malware, otra pregunta que necesita una respuesta es cuál es el objetivo de los operadores de Raspberry Robin.

Puede encontrar más información técnica sobre el gusano Raspberry Robin, incluidos los indicadores de compromiso (IOC) y un ATT & CK de este malware, en el informe de Red Canary.

Descubre más contenido

Subir Change privacy settings