تحذير من “Raspberry Robin”: فيروس خطير ينتشر عبر الأقراص الخارجية
يعزى البرامج الضارة إلى كتلة اسمها "التوت روبن، "الباحثون الكناري الأحمر ذُكر أن الدودة "تستفيد من مثبت Windows للوصول إلى المجالات المرتبطة بـ QNAP وتنزيل DLL ضار
متابعة ماكس نيوز
Raspberry Robin….اكتشف باحثو الأمن السيبراني برنامجًا جديدًا لنظام التشغيل Windows مع قدرات تشبه الدودة ويتم نشرها عن طريق أجهزة USB قابلة للإزالة.
يعزى البرامج الضارة إلى كتلة اسمها “التوت روبن، “الباحثون الكناري الأحمر ذُكر أن الدودة “تستفيد من مثبت Windows للوصول إلى المجالات المرتبطة بـ QNAP وتنزيل DLL ضار.”
يقال إن علامات النشاط الأولى حتى الآن حتى سبتمبر 2021 ، مع وجود الالتهابات في المنظمات ذات العلاقات مع قطاعات التكنولوجيا والتصنيع.
تبدأ سلاسل الهجوم المتعلقة بـ Raspberry Robin بتوصيل محرك USB المصاب بجهاز Windows. يوجد داخل الجهاز حمولة الدودة ، والتي تظهر كملف اختصار .lnk إلى مجلد شرعي.
ثم تعتني الدودة بتفريغ عملية جديدة باستخدام cmd.exe لقراءة وتنفيذ ملف ضار مخزّن على محرك الأقراص الخارجي.
يتبع ذلك تشغيل explorer.exe و msiexec.exe ، والتي يتم استخدامها الأخير لاتصالات الشبكة الخارجية بمجال Rogue لأغراض الأوامر والسيطرة (C2) وتنزيل ملف مكتبة DLL وتثبيته.
يتم تحميل DLL الضار في وقت لاحق وتنفيذها باستخدام سلسلة من أدوات Windows الشرعية مثل fodhelper.exe ، rundll32.exe إلى rundll32.exe ، و odbcconf.exe ، بشكل فعال تجاوز التحكم في حساب المستخدم (UAC).
شائع أيضًا عبر عمليات اكتشاف Raspberry Robin حتى الآن هو وجود جهة اتصال C2 الخارجية التي تتضمن عمليات REGSVR32.EXE و RUNDLL32.EXE و DLLHOST.EXE لعناوين IP المرتبطة بعقد TOR.
ومع ذلك ، تظل أهداف المشغلين دون إجابة في هذه المرحلة. من غير الواضح أيضًا كيف ومكان إصابة محركات الأقراص الخارجية ، على الرغم من أنه يشتبه في أنه يتم تنفيذها في وضع عدم الاتصال.
وقال الباحثون “لا نعرف أيضًا لماذا يقوم Raspberry Robin بتثبيت DLL ضار”. “إحدى الفرضيات هي أنها قد تكون محاولة لإثبات الثبات
