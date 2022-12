Le logiciel malveillant Raspberry Robin est pris en flagrant délit d'utilisation d'une tactique astucieuse pour tromper les chercheurs en sécurité.



Plus tôt cette année, les chercheurs du groupe de renseignement sur les menaces Red Canary ont identifié un ver informatique infectieux qui s'est avéré être présent dans les environnements des clients en remontant jusqu'en septembre 2021. Selon une analyse ultérieure de Microsoft, ce logiciel malveillant, que les chercheurs ont nommé "Raspberry Robin", pourrait remonter à 2019 et s'est depuis développé pour s'intégrer à un écosystème de logiciels malveillants plus vaste. De nouvelles recherches menées par Trend Micro ont révélé une version actualisée de Raspberry Robin qui a commencé à se propager dans les systèmes de télécommunications et gouvernementaux en septembre. Cette nouvelle variante tente de tromper les chercheurs en sécurité en masquant sa véritable charge utile et en déployant une fausse charge utile lorsqu'elle détecte des outils de sécurité actifs.







Les analystes en cybersécurité classent Raspberry Robin comme un ver informatique car il se propage dans les systèmes de manière auto-réplicative. Ce ver particulier se propage en se copiant d'une machine infectée vers toute clé USB connectée, puis en infectant à nouveau toutes les machines qui se connectent à ces clés USB. Si la propagation via les clés USB permet à Raspberry Robin de ne pas proliférer aussi rapidement que les vers qui se propagent via Internet ou un réseau local (LAN), cette méthode de transmission rend Raspberry Robin dangereux à d'autres égards. Le ver peut rester dormant sur les clés USB pendant de longues périodes, puis réinfecter les ordinateurs qui ont été nettoyés du malware. La transmission par clé USB permet également à Raspberry Robin de franchir les trous d'air et d'infecter des systèmes sans accès réseau, y compris des archives hors ligne stockant des informations précieuses. Une telle infection pourrait être désastreuse si le ver déploie des logiciels malveillants destructeurs de données tels que des ransomwares.



Les chercheurs ont observé que Raspberry Robin déploie une variété de charges utiles malveillantes différentes, souvent dans le cadre de chaînes d'infection à plusieurs étapes qui peuvent aboutir au déploiement de ransomwares. Selon Microsoft, ce ver est devenu l'une des plus grandes plates-formes de distribution de logiciels malveillants, et les acteurs de la menace pourraient même payer les développeurs de Raspberry Robin pour qu'ils déploient des charges utiles particulières sur les machines infectées. Ainsi, Raspberry Robin en est venu à jouer le rôle d'un dropper de logiciels malveillants, infectant les ordinateurs dans le but d'installer des logiciels malveillants supplémentaires.







Malheureusement, il peut être difficile pour les chercheurs en sécurité, sans parler des logiciels anti-virus, de détecter et d'identifier Raspberry Robin. La chaîne d'infection du ver commence par un fichier de raccourci .LNK sur une clé USB. Une fois que le lecteur est connecté à une machine Windows et qu'un utilisateur double-clique sur le raccourci, un fichier exécutable s'exécute et demande au service légitime msiexec.exe de télécharger et d'installer un paquet malveillant .MSI Windows Installer. Ce paquet malveillant contient l'essentiel du malware Raspberry Robin.



Cependant, le code malveillant est caché derrière plus de dix couches d'obscurcissement. Au moment de l'exécution, chaque couche du logiciel malveillant s'efforce de décompresser et de décrypter la couche suivante dans l'ordre. Lorsque ce processus atteint le chargeur de charge utile, ce dernier tente de détecter les outils de sandboxing et d'analyse de sécurité. Si de tels outils sont détectés, le chargeur décompresse et charge une fausse charge utile destinée à tromper les chercheurs en sécurité. Cette fausse charge utile collecte et exfiltre des informations système avant de télécharger et d'installer un adware. Les chercheurs en sécurité qui observent ce comportement peuvent être amenés à croire qu'ils ont déterminé toute l'étendue de l'activité du logiciel malveillant.



Cependant, lorsque le chargeur de données utiles détermine qu'aucun sandboxing ou outil d'analyse de sécurité n'est actif, il décompresse et charge la véritable charge utile, qui est nettement plus malveillante. Il abuse des droits d'administration des utilisateurs pour élever ses privilèges, échapper à la détection et s'installer sur le système infecté en modifiant le registre Windows. La charge utile réelle contient également un client Tor, que le malware utilise pour communiquer avec des serveurs de commande et de contrôle (C2) contrôlés par les acteurs de la menace derrière Raspberry Robin. Après avoir établi une porte dérobée sur le système infecté, les acteurs de la menace peuvent alors envoyer des charges utiles malveillantes supplémentaires pour que le malware les installe et les exécute.



Cette nouvelle variante de Raspberry Robin montre jusqu'où les acteurs de la menace sont prêts à aller pour développer des logiciels malveillants capables de se cacher des chercheurs en sécurité et des logiciels antivirus. Afin d'éviter de devenir la prochaine victime de ce ver et d'autres semblables, les utilisateurs individuels et les organisations doivent toujours rester vigilants et se méfier de l'ouverture de fichiers inconnus, même s'ils peuvent sembler inoffensifs à l'inspection.



HOTHARDWARE