Red Canary a découvert un ver informatique visant Windows qui se propage à l'aide de clés USB. Pour l’heure, les intentions des hackeurs ne sont pas connues.
C’est dans les vieux pots qu’on fait les meilleures confitures (ou les pires). Les chercheurs en ingénierie de Red Canary ont observé un ver informatique dans les réseaux de plusieurs entreprises du secteur de la tech et de la construction. Il se propage dans les systèmes Windows lorsqu’un lecteur USB contenant un fichier raccourci .lnk « se faisant passer pour un dossier légitime sur le périphérique USB infecté », est connecté.
DLL malveillante
Le ver utilise ensuite cmd.exe pour lire et exécuter un fichier infecté stocké sur le lecteur externe. A l’aide de Microsoft Standard Installer (msiexec.exe), le ver va atteindre les serveurs de commande et de contrôle (C2) hébergés sur des appareils QNAP compromis et utiliser des nœuds de sortie TOR comme infrastructure C2. Le malware procède alors au téléchargement d’autres codes comme un fichier bibliothèque logicielle (DLL) malveillant. Les experts s’interrogent encore sur l’utilité de cette DLL. « Nous soupçonnons qu'elle peut établir une persistance sur le système de la victime. », indiquent-ils.
Bouteille à la mer
Quid des objectifs des pirates ? « En l'absence d'informations supplémentaires sur l'activité à un stade ultérieur, il est difficile de faire des déductions sur l'objectif ou les objectifs de ces campagnes. »
Les chercheurs s’interrogent aussi sur la manière dont Raspberry Robin infecte les lecteurs externes pour perpétuer son activité « bien qu'il soit probable que cela se produise hors ligne ou autrement en dehors de notre visibilité. », suggèrent-ils dans leur rapport.
Faute d’informations, Red Canary espère que cette étude permettra de mieux suivre et détecter le ver. La société s'en remet aussi à la communauté, et invite ceux qui auraient éventuellement « suivi une activité similaire », à se manifester.