{"id":19414,"date":"2022-05-08T17:13:11","date_gmt":"2022-05-08T20:13:11","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19414"},"modified":"2022-05-08T17:13:13","modified_gmt":"2022-05-08T20:13:13","slug":"malware-raspberry-robin","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/05\/basico\/malware-raspberry-robin\/","title":{"rendered":"Malware Raspberry Robin"},"content":{"rendered":"\n

Pesquisadores alertam sobre malware ‘Raspberry Robin’ se espalhando por meio de unidades externas<\/span><\/h1>\n

\u00a0<\/p>\n

Pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram um novo malware do Windows com recursos semelhantes a worms e \u00e9 propagado por meio de dispositivos USB remov\u00edveis.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Atribuindo o malware a um cluster chamado ” <\/span>Raspberry Robin<\/span><\/b> “, os pesquisadores da Red Canary <\/span>observaram<\/span> que o worm “alavanca o Windows Installer para alcan\u00e7ar dom\u00ednios associados \u00e0 QNAP e baixar uma DLL maliciosa”.<\/span><\/p>\n

\u00a0<\/p>\n

Diz-se que os primeiros sinais da atividade remontam a setembro de 2021, com infec\u00e7\u00f5es observadas em organiza\u00e7\u00f5es ligadas aos setores de tecnologia e manufatura.<\/span><\/span><\/p>\n

\n
\u00a0<\/div>\n<\/center><\/div>\n

As cadeias de ataque pertencentes ao Raspberry Robin come\u00e7am com a conex\u00e3o de uma unidade USB infectada a uma m\u00e1quina Windows. Presente no dispositivo est\u00e1 a carga \u00fatil do worm, que aparece como um arquivo de atalho .LNK para uma pasta leg\u00edtima.<\/span><\/p>\n

\u00a0<\/p>\n

\"Pisco<\/a><\/div>\n
\u00a0<\/div>\n
\n

O worm ent\u00e3o se encarrega de gerar um novo processo usando cmd.exe para ler e executar um arquivo malicioso armazenado na unidade externa.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Isso \u00e9 seguido pelo lan\u00e7amento do explorer.exe e msiexec.exe, o \u00faltimo dos quais \u00e9 usado para comunica\u00e7\u00e3o de rede externa com um dom\u00ednio n\u00e3o autorizado para fins de comando e controle (C2) e para baixar e instalar um arquivo de biblioteca DLL.<\/span><\/p>\n

\u00a0<\/p>\n

A DLL maliciosa \u00e9 posteriormente carregada e executada usando uma cadeia de utilit\u00e1rios leg\u00edtimos do Windows, como fodhelper.exe, rundll32.exe a rundll32.exe e odbcconf.exe, <\/span>ignorando efetivamente o Controle de Conta de Usu\u00e1rio<\/span> (UAC).<\/span><\/p>\n

\u00a0<\/p>\n<\/div>\n

Tamb\u00e9m comum nas detec\u00e7\u00f5es do Raspberry Robin at\u00e9 agora \u00e9 a presen\u00e7a de contato C2 de sa\u00edda envolvendo os processos regsvr32.exe, rundll32.exe e dllhost.exe para endere\u00e7os IP associados aos n\u00f3s Tor.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Dito isto, os objetivos dos operadores permanecem sem resposta nesta fase. Tamb\u00e9m n\u00e3o est\u00e1 claro como e onde as unidades externas est\u00e3o infectadas, embora se suspeite que seja realizado offline.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cTamb\u00e9m n\u00e3o sabemos por que o Raspberry Robin instala uma DLL maliciosa\u201d, informaram os pesquisadores. “Uma hip\u00f3tese \u00e9 que pode ser uma tentativa de estabelecer persist\u00eancia em um sistema infectado.”<\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/05\/researchers-warn-of-raspberry-robin.html<\/a>\u00a0 (Autor: Ravie Lakshmanan<\/span>)<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Pesquisadores alertam sobre malware ‘Raspberry Robin’ se espalhando por meio de unidades externas \u00a0 Pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram um novo malware do Windows com recursos semelhantes a worms e \u00e9 propagado por meio de dispositivos USB remov\u00edveis. \u00a0 Atribuindo o malware a um cluster chamado ” Raspberry Robin “, os pesquisadores da Red Canary […]<\/p>\n","protected":false},"author":2,"featured_media":19415,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19414","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19414","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19414"}],"version-history":[{"count":3,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19414\/revisions"}],"predecessor-version":[{"id":19418,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19414\/revisions\/19418"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19415"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19414"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19414"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19414"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}