A empresa de segurança digital Red Canary detectou um novo conjunto de cibercrimes que ainda não teve todos os detalhes descobertos, mas pode ser uma grande ameaça para empresas.
Trata-se do Raspberry Robin, um conjunto de atividades que começa com um método curioso de infecção: um pendrive que deve ser inserido em entradas USB de computadores. Até agora, diversas empresas do ramo de tecnologia e indústria já teriam sido alvo, mas nenhuma sofreu danos do ataque.
Quando o pendrive é inserido no aparelho, o worm se disfarça de um atalho de extensão LNK para fugir de plataformas de segurança digital.
O início da infecção, com a execução de arquivos disfarçados.Fonte: Red Canary
Ao ser conectado, ele começa a executar os códigos, tudo a partir do prompt de comando do PC (cmd.exe). Ele ainda usa o executável da própria Microsoft para instalar produtos (Msiexec.exe) para tentar estabelecer uma comunicação enterna com domínios possivelmente danosos, inclusive usando redes do navegador anônimo Tor.
Além disso, há a instalação de um arquivo DLL no sistema que, ao que tudo indica, é uma das etapas de persistência da invasão no sistema.
Mistérios
O problema? Depois de todas essas etapas, a atuação do Raspberry Robin segue um mistério. Os especialistas não encontraram exatamente o que esse malware faz nos PCs infectados ou se ele ainda está dormente aguardando comandos específicos que podem levar ao roubo de dados, gerenciamento remoto ou comprometimento do sistema.
A Red Canary ainda não descobriu também como de fato a infecção acontece — se é uma atividade interna ou alguma pessoa mal intencionada que ganha acesso aos computadores das vítimas, por exemplo. Atividades assim já são registradas desde setembro de 2021 e o relatório completo da atuação do cibercrime pode ser visto neste link (em inglês).
Fontes