Secara cepat: Para peneliti telah menemukan worm yang relatif baru yang menginfeksi PC Windows melalui drive eksternal yang melelahkan. Meskipun mereka telah menggunakannya selama beberapa bulan sekarang dan mengetahui cara kerjanya, mereka tidak yakin tentang hasil akhirnya. Terlepas dari sifat berbahaya dari pekerjaannya, tugasnya di tahap selanjutnya tetap tidak diketahui.

– Iklan –

Analis dari “Red Canary” mengungkapkan sebuah cluster latihan malware yang menggunakan worm yang didistribusikan melalui drive USB eksterior. Malware tersebut menggunakan “QNAP worm”, yang dijelaskan lagi oleh perusahaan intelijen siber Sekoia pada November 2021. Namun, Red Canary telah menemukannya di beberapa jaringan manufaktur dan pengetahuan pembelinya dan telah memantaunya sejak September, dengan nama kode Robin Raspberry.

– Iklan –

Raspberry Robin menyebar ketika pelanggan mencolokkan drive USB yang terkontaminasi ke komputer mereka. Worm, menyamar sebagai file LNK, kemudian menggunakan cmd.exe Windows untuk meluncurkan file berbahaya. Kemudian menggunakan penginstal Microsoft biasa (msiexec.exe) untuk terhubung dengan server perintah dan manajemen (C2)—biasanya unit QNAP yang lemah. Dia kemudian menggunakan node keluar TOR untuk menutupi jejaknya.

– Iklan –

Red Canary mencurigai bahwa Raspberry Robin membuat kegigihan dengan memasukkan file DLL berbahaya dari server C2. Malware kemudian meluncurkan DLL menggunakan dua utilitas yang disertakan dengan Windows: fodhelper (pengawas pengaturan Windows) dan obdcconf (perangkat lunak konfigurasi driver ODBC). Yang pertama melewati Kontrol Akun Pengguna, sedangkan yang terakhir mengeksekusi dan mengkonfigurasi DLL.

Namun, para peneliti mengakui bahwa itu hanya spekulasi kerja. Mereka tidak tahu persis apa yang DLL lakukan, mereka juga tidak tahu bagaimana mereka didistribusikan ke USB stick.

“Pertama-tama, kami tidak tahu bagaimana atau di mana Raspberry Robin menginfeksi drive eksternal untuk mempertahankan aktivitasnya, meskipun kemungkinan ini terjadi secara offline atau di luar jangkauan kami,” kata Red Canary. “Kami juga tidak tahu mengapa Raspberry Robin menginstal DLL berbahaya.”

Juga tidak jelas apa tujuan akhir dari worm QNAP. Selain cara kerjanya, para peneliti tidak melihat “aktivitas tahap akhir” yang akan menguntungkan operator.

Skor kredit gambar: kenari merah