Les clés USB continuent d’être un vecteur d’infection dans les organisations. Les chercheurs en sécurité de Red Canary ont découvert un ver informatique qui se propage au travers de clés USB.
Baptisé Raspberry Robin, le malware est planqué dans un fichier de raccourci (LNK) sur la clé. Dès que la clé se connecte, le registre Windows est mis à jour. Le malware va ensuite exécuter une série d’applications Windows telles que cmd, msiexec, odbcconf et fodhelper. Les commandes utilisées mélangent des caractères minuscules et majuscules, ce qui rend plus difficile la détection par les éventuels moteurs antivirus.
Certaines commandes vont tenter d’établir une connexion extérieure vers des serveurs de Commande et Contrôle (C&C). Généralement, il s’agit de serveurs de stockage en réseau Qnap.
« Nous pensons que Raspberry Robin utilise des appareils Qnap compromis pour son infrastructure C&C », soulignent les chercheurs.
Ces connexions extérieures permettent au malware de télécharger d’autres codes malveillants. En particulier, les chercheurs ont observé l’installation d’une DLL vérolée, qui servirait à garantir une persistance sur la machine.
A découvrir aussi en vidéo :
Les victimes semblent être avant tout des entreprises technologiques et industrielles. Mais il reste encore beaucoup de zones d’ombre. Comme les chercheurs n’ont pas pu mettre la main sur les codes malveillants installés ultérieurement, l’objectif final de ce malware n’est pas connu. Les chercheurs ne se risquent pas non plus à une attribution. Mais cette découverte montre, une fois de plus, les risques associés aux clés USB non identifiées.
Source : Red Canary