Сотни сетей Windows заражены червем Raspberry Robin

Microsoft выпустила частный информационный бюллетень об угрозах, информирующий организации о том, что червь под названием Raspberry Robin заражает сотни сетей Windows.

Как сообщает BleepingComputer, Raspberry Robin распространяется через зараженные USB-устройства. Требуется, чтобы пользователь вставил USB-устройство и щелкнул вредоносный файл.LNK. После этого червь использует командную строку Windows для запуска процесса msiexec и запуска вредоносного файла, также присутствующего на устройстве.

Затем с помощью короткого URL-адреса устанавливается соединение с сервером управления и контроля, и в случае успеха загружается и устанавливается ряд вредоносных библиотек DLL. Затем легитимная утилита Windows odbcconf.exe используется для запуска библиотек DLL, в то время как червь неоднократно пытается подключиться к узлам сети Tor. По крайней мере, некоторые из используемых серверов управления и контроля считаются зараженными устройствами QNAP NAS.

Беспокоит то, что тот, кто так успешно развернул Raspberry Robin, еще не воспользовался преимуществами зараженных сетей Windows. Вредоносное ПО, внедренное червем, способно обходить контроль учетных записей Windows (UAC) и уже доказало, что может использовать утилиты, доступные для ОС. Таким образом, хотя в настоящее время никто не знает цели Raspberry Robin, контроль, который он обеспечивает над сетью, означает, что новое вредоносное ПО может быть загружено и развернуто очень быстро.

Microsoft не без оснований пометила Raspberry Robin как кампанию с высоким риском, и на данный момент, похоже, нет никакого способа смягчения последствий, кроме как не подключать подозрительные USB-устройства к сети Windows. Аналитик разведки Red Canary подготовил подробный отчет о черве еще в мае, что предлагает более глубокий взгляд на то, как это работает.