研究人员警告“树莓罗宾”恶意软件通过外部驱动器传播

网络安全研究人员发现了一种新的Windows恶意软件，该软件具有类似蠕虫的功能，并通过可移动USB设备传播。

将恶意软件归因于名为”的群集树莓知更鸟“红金丝雀研究人员指出，该蠕虫”利用Windows Installer访问QNAP相关域并下载恶意DLL”。

据说，这种活动的最早迹象可以追溯到2021 9月，在与技术和制造业有联系的组织中观察到了感染。

与Raspberry Robin相关的攻击链从将受感染的USB驱动器连接到Windows计算机开始。设备中存在worm有效负载，它显示为。LNK快捷方式文件到合法文件夹。

然后，蠕虫会使用cmd生成一个新进程。exe读取并执行存储在外部驱动器上的恶意文件。

然后启动explorer。exe和msiexec。exe，后者用于与恶意域进行外部网络通信，以用于指挥和控制（C2）目的，并下载和安装DLL库文件。

恶意DLL随后使用合法Windows实用程序链（如fodhelper）加载和执行，exe，rundll32，exe以运行dll32，exe和odbcconf、exe，有效绕过用户帐户控制（UAC）。

到目前为止，树莓罗宾检测中的另一个常见现象是存在涉及进程regsvr32的出站C2联系人，exe，rundll32，exe和dllhost，exe到与Tor节点关联的IP地址。

也就是说，运营商的目标在现阶段仍未得到回答。目前还不清楚外部驱动器是如何以及在何处受到感染的，尽管怀疑是离线进行的。

“我们也不知道为什么Raspberry Robin会安装恶意DLL，”研究人员说。“一种假设是，这可能是试图在受感染的系统上建立持久性”。