Raspberry Robin: Microsoft warnt vor gefährlichem Wurm, der viele Windows-Netzwerke infiziert

Der Kampf zwischen Gut und Böse geht weiter, wenn es um die Cybersicherheit geht. Wir hören regelmäßig von neuen Exploits, die von Angreifern verwendet werden, sowie von Abwehrmaßnahmen, die reaktiv und proaktiv dagegen aufgebaut werden. Jetzt hat Microsoft private Bulletins über einen gefährlichen Wurm veröffentlicht, der Hunderte von Windows-Unternehmensnetzwerken infiziert.

Die als Raspberry Robin bezeichnete Malware verbreitet sich über infizierte USB-Geräte, die die Datei enthalten. LNK. Sobald der Benutzer auf diese Datei klickt, erstellt der Wurm den Prozess msiexec.exe über die Befehlszeile und startet eine weitere schädliche Datei. Es kontaktiert dann die Command-and-Control-Server über eine kurze URL. Wenn die Verbindung erfolgreich ist, werden eine Reihe anderer bösartiger DLLs heruntergeladen und installiert, die dann versuchen, die TOR-Knoten zu kontaktieren.

Es ist wichtig zu beachten, dass Raspberry Robin keine neue Malware ist. Es wurde erstmals im Jahr 2021 von mehreren Sicherheitsexperten entdeckt, und Microsoft sah sogar bereits 2019 Beweise für seine Verwendung.

Laut Bleeping Computer informiert Microsoft derzeit Defender for Endpoint-Abonnenten privat über die Gefahren, die von Raspberry Robin ausgehen. Er stellte auch fest, dass der Wurm in Hunderten von Windows-Netzwerken in verschiedenen Sektoren gefunden wurde.

Es ist jedoch sehr interessant zu erfahren, dass die infizierten Maschinen zwar mit dem Tor-Netzwerk kommunizieren, die Angreifer hinter Raspberry Robin den Exploit jedoch noch nicht genutzt haben, um an sensible Informationen zu gelangen oder Ransomware einzusetzen. Sie können dies leicht tun, da die anfänglichen Payloads, die sie herunterladen, verwendet werden können, um die Benutzerkontensteuerung (UAC) zu umgehen, indem sie Windows-Dienstprogramme missbrauchen. Daher ist derzeit nicht bekannt, welche Gruppe von Bedrohungen Raspberry Robin verwenden und was ihr letztendliches Ziel ist. Angesichts des Potenzials für eine Eskalation dieser Bedrohung und der Tatsache, dass sie sich ziemlich schnell verbreitet, hat Microsoft sie vorerst als risikoreiche Kampagne gekennzeichnet.

Quelle: Bleeping Computer