Gli analisti dell’azienda di sicurezza Red Canary hanno scoperto un nuovo worm per Windows connesso a una serie di attività criminali nota come Raspberry Robin. In particolare, il malware viene diffuso tramite unità USB fisiche compromesse. Il team di analisi di Red Canary ha scoperto la presenza del worm in diverse reti di aziende del settore produttivo e tecnologico. A quanto pare, nelle unità USB viene inserito un file dannoso con estensione .LINK e una volta collegato un drive a un computer, il malware avvia un’istanza di cdm.exe che lo attiva.

Sfruttando Windows Installer, ovvero msiexec.exe, il worm si connette ai propri server C2 (command-and-control), in sostanza macchine remote che consentono di assumere il controllo del computer bersaglio e impartire comandi e/o installare e avviare programmi dannosi. Secondo Red Canary, il server C2 connesso al malware risiederebbe su un dispositivo QNAP compromesso, sfruttando i nodi di uscita TOR come ulteriore infrastruttura di controllo.

Utilizzando sempre processi e funzioni legittime di Windows, il worm inocula un file .DLL infetto sul computer di destinazione, tuttavia non è ancora noto lo scopo di tale operazione, al momento l’ipotesi è quella di mantenere una presenza sulla macchina per l’avvio di attacchi successivi, sebbene non si conosca nemmeno la potenziale natura, ad esempio un’operazione ransomware. Ma i misteri non si fermano qui: resta infatti l’interrogativo sulle modalità di infezione delle unità USB, ad esempio se ciò avvenga effettivamente offline o con altre modalità attualmente ignote. Altro fatto sconosciuto è l’obiettivo finale del gruppo Raspberry Robin, insomma c’è tutta una serie di questioni irrisolte a cui il gruppo spera di dare risposta con ulteriori indagini.