Petirrojo frambuesa

Se está utilizando un malware con capacidades similares a las de un gusano en campañas de ataque que afectan a los sistemas Windows. Los investigadores de seguridad cibernética han rastreado la amenaza y su grupo de actividad asociado como Raspberry Robin y 'gusano QNAP'. Según sus informes, la operación Raspberry Robin se notó en septiembre de 2021, pero la mayor parte de la actividad tuvo lugar a partir de enero de 2022. Las víctimas de la amenaza han sido identificadas como empresas que operan en los sectores de tecnología y fabricación, pero potencialmente podría ser otros también. Cabe señalar que, hasta el momento, no se han confirmado los objetivos de los actores de amenazas.

Explotación de herramientas legítimas de Windows

La cadena de infección de Raspberry Robin comienza con unidades extraíbles infectadas, como dispositivos USB. Estas unidades contienen el gusano Raspberry Robin en forma de un archivo .lnk de acceso directo, disfrazado como una carpeta legítima. La amenaza se activa después de que la unidad dañada se conecta a la computadora. Aprovecha cmd.exe para leer y luego ejecutar un archivo que se encuentra en la unidad externa infectada. Los investigadores han encontrado que este comando es consistente entre diferentes detecciones de Raspberry Robin y puede usarse como un indicador de las actividades amenazantes llevadas a cabo por el gusano.

Como parte de sus acciones, el malware aprovecha ampliamente las utilidades legítimas de Windows. Aprovecha msiexec.exe (Microsoft Standard Installer) para obtener y ejecutar un archivo DLL comprometido, junto con otros paquetes de instalación legítimos. Se cree que el archivo DLL tiene una funcionalidad relacionada con la persistencia y se toma de un dominio de comando y control (C2, C&C) corrupto, probablemente alojado en dispositivos QNAP comprometidos. La actividad C2 saliente atribuida a Raspberry Robin también se ha observado utilizando los procesos de Windows regsvr32.exe, rundll32.exe y dllhost.exe. Los intentos de conexión a la red externa estaban dirigidos a direcciones IP en nodos TOR.

El Raspberry Robin también obliga a msiexec.exe a iniciar otra utilidad real de Windows: fodhelper.exe. La amenaza se basa en él para generar rundll32.exe e iniciar un comando amenazante. El actor de amenazas eligió fodhelper.exe debido a su capacidad para iniciar procesos con privilegios de administrador elevados, sin activar un aviso de Control de cuentas de usuario (UAC).