Crédits : AFP

Un ver informatique se propage à l’aide de clés USB

Des analystes ont découvert un nouveau malware Windows qui se propage à l’aide de clés USB externes.

Des chercheurs en cybersécurité ont découvert un nouveau malware Windows. Ce dernier est doté de capacités de type ver et qui se propage au moyen de périphériques USB amovibles.

Plus précisément, c’est l’équipe d’ingénierie de détection de Red Canary a qui a détecté ce nouveau malware Windows. Le logiciel malveillant a été observé pour la première fois en septembre 2021 dans les réseaux de nombreux clients, dont certains dans les secteurs de la technologie et de la fabrication. Il est lié à Raspberry Robin, un ensemble d’activités malveillantes. le ver dans les réseaux de nombreux clients, dont certains dans les secteurs de la technologie et de la fabrication.

Mode opératoire

Ce ver se propage dans les nouveaux systèmes Windows lorsqu’une clé USB infectée contenant un fichier malveillant est connectée. La charge utile du ver est présente dans le dispositif et apparaît sous la forme d’un fichier de raccourci .LNK vers un dossier légitime. Concrètement, une fois la clé connectée, le malware génère un nouveau processus. Il utilise cmd.exe pour lancer un fichier malveillant stocké sur le lecteur infecté.

Il lance ensuite explorer.exe et Microsoft Standard Installer (msiexec.exe). Ce dernier est utilisé pour communiquer avec un domaine malveillant sur le réseau externe à des fins de commande et de contrôle (C2). msiexec.exe est aussi utilisé pour télécharger et installer un fichier de bibliothèque DLL. En clair, Raspberry Robin utilise Microsoft Standard Installer pour tenter une communication réseau externe vers un domaine malveillant.

“Alors que msiexec.exe télécharge et exécute des paquets d’installation légitimes, les adversaires l’exploitent également pour diffuser des logiciels malveillants”, ont déclaré les chercheurs. Ensuite, la bibliothèque DLL malveillante est ensuite se charge et s’exécute à l’aide d’une chaîne d’utilitaires Windows légitimes. Par exemple, fodhelper.exe, rundll32.exe à rundll32.exe et odbcconf.exe. Ainsi, elle contourne le contrôle des comptes d’utilisateurs (UAC).

Zone grise

Les chercheurs n’ont pas élucidé tout le problème. “Tout d’abord, nous ne savons pas comment ni où Raspberry Robin infecte les disques externes pour perpétuer son activité” expliquent-ils. Ils ajoutent, “mais il est probable que cela se passe hors ligne ou en dehors de notre champ de visibilité”. De même, ils ne savent pas pourquoi Raspberry Robin installe une DLL malveillante.

“Une hypothèse est qu’il peut s’agir d’une tentative d’établir la persistance sur un système infecté, bien que des informations supplémentaires soient nécessaires pour établir la confiance dans cette hypothèse”

Enfin, il n’y a aucune information sur les tâches malveillantes de la phase finale du malware. L’objectif des opérateurs de Raspberry Robin est encore inconnu.

_
Suivez Geeko sur Facebook, Youtube et Instagram pour ne rien rater de l'actu, des tests et bons plans.