USB pode ser canal de invasão para o seu computador
Com o nome de Raspberry Robin, o software malicioso usa o Microsoft Standard Installer e outros processos legítimos para se comunicar com invasores e permitir a execução de comandos perigosos que podem acabar com seu sistema e privacidade.
Segundo a publicação de um relatório oficial, pesquisadores da empresa de segurança Red Canary Intelligence rastrearam as atividades maliciosas no fim do ano passado – com um número considerável de detecções com características semelhantes pela equipe de Engenharia de Detecção da empresa.
A atuação do worm do dispositivo USB
A partir da infecção — feita ao conectar um dispositivo USB nas entradas do PC —, o worm se espalha e infecta todo o sistema, a atividade depende do msiexec.exe para ativar sua infraestrutura.
Esse arquivo é normalmente composto por dispositivos QNAP que usam solicitações HTTP com os nomes de usuários e dispositivos da vítima.
Análises iniciais
Com as informações coletadas até agora, a equipe da Red Canary ainda não conseguiu identificar como ou onde o “Raspberry Robin” infecta outras unidades externas USB para dar prosseguimento ao processo de expansão da contaminação, revelaram os pesquisadores.
Uma grande questão está tirando o sono dos pesquisadores, pois se dificulta entender quais são os objetivos e passos seguintes dos criminosos:
“Sem informações adicionais sobre a atividade no estágio posterior, é difícil fazer projeções sobre o objetivo ou objetivos dessas campanhas de infecção”.
Vírus por dispositivo USB toma conta de todo o sistema do usuário
Em um primeiro momento, as unidades removíveis infectadas (USB) introduzem o worm Raspberry Robin como um arquivo do tipo LNK de atalho, disfarçado como uma pasta legítima no dispositivo infectado.
Os arquivos LNK são atalhos do Windows usados normalmente para abrir outro arquivo, pasta ou aplicativo, segundo os pesquisadores.
A execução da ameaça têm início quando o Raspberry Robin usa arquivo cmd.exe para ler e executar um segundo arquivo gravado na unidade externa infectada.
Em sua segunda fase de atuação, o Raspberry Robin usa um segundo executável, (msiexec.exe) para tentar a comunicação externa da rede para com um domínio malicioso para executar comandos e exercer controle.
Os pesquisadores observaram que o worm usou msiexec.exe para instalar um arquivo DLL também malicioso, apesar de não estar muito claro qual o objetivo deste tipo de arquivo.
O Raspberry Robin também usa o (msiexec.exe) para iniciar um utilitário Windows legítimo (fodhelper.exe), que em seguida, cria um (rundll32.exe) para executar comandos maliciosos.
No último estágio, o comando (rundll32.exe) inicia outro utilitário Windows legítimo: o (odbcconf.exe) e passa comandos adicionais para executar e configurar o arquivo DLL que foi instalado antes.
A extensão total dos problemas ocasionados por esse vírus do tipo worm ainda não está clara, mas o número de possibilidades é realmente assustadora.
Em época de arquivos em nuvem e servidores dedicados, quem imaginaria que os dispositivos USB voltariam a ser uma ameaça aos usuários.
Fonte: BitMagazine