این بدافزار خطرناک جدید از طریق درایوهای USB آلوده به دستگاه‌های ویندوزی حمله می‌کند

این بدافزار خطرناک جدید از طریق درایوهای USB آلوده به دستگاه‌های ویندوزی حمله می‌کند

محققان بدافزار جدیدی پیدا کرده‌اند که به دستگاه‌هایی با  سیستم عامل  ویندوز حمله می‌کند، اما هنوز مطمئن نیستند که چرا دقیقاً این کار را انجام می‌دهد.

محققان امنیت سایبری از Red Canary اخیراً بدافزار worm مانند جدیدی را کشف کرده‌اند که به صورت آفلاین از طریق درایوهای USB آلوده منتشر می شود.

محققان هیچ اسمی از این بدافزار خاص نبردند، بلکه آن را به “خوشه ای از فعالیت‌های مخرب” مرتبط کردند که آن‌ها را Raspberry Robin نامیدند.

Raspberry Robin

این بدافزار در نقاط پایانی مختلف در شبکه‌های متعدد متعلق به سازمان‌های فناوری و صنایع تولیدی یافت شد.

پس از تجزیه و تحلیل یک درایو  USB آلوده، محققان دریافتند که این worm از طریق یک فایل  مخرب با فرمت LNK  از طریق اتصال  به دستگاه‌های جدید سرایت می‌کند. هنگامی که درایو USB وصل می‌شود، worm فرآیند جدیدی را از طریق cmd.exe راه‌اندازی کرده و فایل را اجرا می‌کند.

به گفته محققان، برای دسترسی به سرور C2، این worm از Microsoft Standard Installer (msiexec.exe) استفاده می‌کند. آن‌ها حدس می‌زنند که سرور بر روی یک دستگاه QNAP در معرض خطر- با گره‌های خروجی TOR که به عنوان زیرساخت اضافی C2 استفاده می‌شود-  میزبانی می‌شود.

در این گزارش آمده است در حالی که msiexec.exe بسته‌های نصب کننده قانونی را دانلود و اجرا می‌کند، هکرها نیز از آن برای ارائه بدافزار استفاده می‌کنند.

Raspberry Robin از msiexec.exe برای برقراری ارتباط شبکه خارجی با یک دامنه مخرب برای اهداف C2 استفاده می‌کند.