اكتشف باحثو الأمن السيبراني برنامجًا ضارًا جديدًا لنظام التشغيل Windows بقدرات تشبه worm-like ويتم نشره عن طريق أجهزة USB قابلة للإزالة.
أشار باحثو Red Canary، الذين نسبوا البرامج الضارة إلى مجموعة تسمى Raspberry Robin، إلى أن worm-like "تعزز Windows Installer للوصول إلى المجالات المرتبطة بـ QNAP وتنزيل ملف DLL ضار."
تبدأ سلاسل الهجوم المتعلقة بـ Raspberry Robin بتوصيل محرك USB مصاب بجهاز يعمل بنظام Windows. يوجد داخل الجهاز حمولة الـ worm-like، والتي تظهر كملف اختصار .LNK إلى مجلد شرعي.
ثم يقوم الفيروس المتنقل بإنشاء عملية جديدة باستخدام cmd.exe لقراءة وتنفيذ ملف ضار مخزن على محرك الأقراص الخارجي.
يتبع ذلك تشغيل explorer.exe و msiexec.exe، حيث يتم استخدام الأخير لاتصالات الشبكة الخارجية ولتنزيل ملف مكتبة DLL وتثبيته.
يتم تحميل DLL الضار وتنفيذه لاحقًا باستخدام سلسلة من أدوات Windows المساعدة مثل fodhelper.exe و rundll32.exe إلى rundll32.exe و odbcconf.exe ، متجاوزًا التحكم في حساب المستخدم (UAC) بشكل فعال.
من الشائع أيضًا عبر اكتشافات Raspberry Robin وجود جهة اتصال C2 صادرة تتضمن عمليات regsvr32.exe و rundll32.exe و dllhost.exe إلى عناوين IP المرتبطة بعُقد Tor.
ومع ذلك، تظل أهداف المشغلين دون إجابة في هذه المرحلة. من غير الواضح أيضًا كيف وأين يتم إصابة محركات الأقراص الخارجية ، على الرغم من الاشتباه في أنها تم تنفيذها دون اتصال بالإنترنت.
