Secciones
Compañía de Redmond encuentra el gusano Raspberry Robin en cientos de redes Windows
Tecnología

Microsoft encuentra el gusano Raspberry Robin en cientos de redes Windows

El más reciente malware llamado Raspberry Robin ha sido detectado por Microsoft en numerosos sistemas debido a la facilidad para infectar a través de dispositivos USB.

por ErickPeraza

Compañía de Redmond encuentra el gusano Raspberry Robin en cientos de redes Windows

Compañía de Redmond encuentra el gusano Raspberry Robin en cientos de redes Windows

Microsoft dice que se ha encontrado un gusano de Windows recientemente detectado en las redes de cientos de organizaciones de varios sectores industriales.

El malware, denominado Raspberry Robin, se propaga a través de dispositivos USB infectados y fue detectado por primera vez en septiembre de 2021 por analistas de inteligencia de Red Canary.

La firma de seguridad cibernética Sekoia también observó que usaba dispositivos NAS de QNAP como servidores de comando y control (C2) a principios de noviembre [PDF], mientras que Microsoft dijo que encontró artefactos maliciosos vinculados a este gusano creado en 2019.

Los hallazgos de Redmond se alinean con los del equipo de Ingeniería de Detección de Red Canary, que también detectó este gusano en las redes de múltiples clientes, algunos de ellos en los sectores de tecnología y manufactura.

Aunque Microsoft observó que el malware se conectaba a direcciones en la red Tor, los actores de la amenaza aún no han explotado el acceso que obtuvieron a las redes de sus víctimas.

Microsoft encuentra el gusano Raspberry Robin en cientos de redes Windows
Modo de operación del gusano Raspberry Robin.

Esto es a pesar del hecho de que podrían escalar fácilmente sus ataques dado que el malware puede eludir el Control de cuentas de usuario (UAC) en sistemas infectados que utilizan herramientas legítimas de Windows.

Microsoft compartió esta información en un aviso privado de inteligencia de amenazas enviado a los suscriptores de Microsoft Defender para Endpoint y visto por BleepingComputer.

Abuso de herramientas legítimas de Microsoft Windows para infectar nuevos dispositivos

Como Microsoft mencionó, Raspberry Robin se está extendiendo a los nuevos sistemas Windows a través de unidades USB infectadas que contienen un archivo .LNK malicioso.

Una vez que el dispositivo USB está conectado y el usuario hace clic en el enlace, el gusano genera un proceso msiexec utilizando cmd.exe para iniciar un archivo malicioso almacenado en el disco infectado.

Infecta nuevos dispositivos de Windows, se comunica con sus servidores de comando y control (C2) y ejecuta cargas útiles maliciosas utilizando varias utilidades legítimas de Windows:

  • fodhelper (un binario confiable para administrar funciones en la configuración de Windows),
  • msiexec (componente de Windows Installer de línea de comandos),
  • y odbcconf (una herramienta para configurar controladores ODBC).

"Si bien msiexec.exe descarga y ejecuta paquetes de instalación legítimos, los adversarios también lo aprovechan para entregar malware", explicaron los investigadores de Red Canary.

"Raspberry Robin usa msiexec.exe para intentar la comunicación de una red externa a un dominio malicioso para propósitos de C2".

Los investigadores de seguridad que detectaron a Raspberry Robin en la naturaleza aún no han atribuido el malware a un grupo de amenazas y todavía están trabajando para encontrar el objetivo final de sus operadores.

Sin embargo, Microsoft ha etiquetado esta campaña como de alto riesgo, dado que los atacantes podrían descargar e implementar malware adicional dentro de las redes de las víctimas y escalar sus privilegios en cualquier momento.

Te puede interesar: Microsoft está a punto de revelar la "nueva generación" de Windows

En La Verdad Noticias tenemos las noticias más recientes de Microsoft. Síguenos en Google News, Facebook y Twitter para mantenerte informado.

Temas

Comentarios