Raspberry Robin: Microsoft advierte de un peligroso gusano que infecta muchas redes de Windows

La batalla entre el bien y el mal es continua cuando se trata del espacio de ciberseguridad. Regularmente escuchamos sobre nuevos exploits que utilizan los atacantes, así como las defensas que se construyen contra ellos de forma reactiva y proactiva. Ahora Microsoft ha publicado boletines privados sobre un peligroso gusano que está infectando cientos de redes corporativas de Windows.

El malware, denominado Raspberry Robin, se propaga a través de dispositivos USB infectados que contienen el archivo. LNK. Tan pronto como el usuario hace clic en este archivo, el gusano crea el proceso msiexec.exe a través de la línea de comandos y lanza otro archivo malicioso. Luego contacta a los servidores de comando y control utilizando una URL corta. Si la conexión es exitosa, descarga e instala un montón de otras DLL maliciosas, que luego intentan contactar a los nodos TOR.

Es importante tener en cuenta que Raspberry Robin no es un malware nuevo. Varios expertos en seguridad lo descubrieron por primera vez en 2021, y Microsoft incluso vio evidencia de su uso en 2019.

Según Bleeping Computer , Microsoft está informando en privado a los suscriptores de Defender for Endpoint sobre los peligros que plantea Raspberry Robin. También señaló que el gusano se encontró en cientos de redes de Windows en varios sectores.

Sin embargo, es muy interesante saber que aunque las máquinas infectadas se comunican con la red Tor, los atacantes detrás de Raspberry Robin aún no han utilizado el exploit para obtener acceso a información confidencial o implementar ransomware. Pueden hacer esto fácilmente dado que las cargas útiles iniciales que descargan se pueden usar para eludir el Control de cuentas de usuario (UAC) al hacer un mal uso de las utilidades de Windows. Por lo tanto, actualmente se desconoce qué grupo de amenazas están utilizando Raspberry Robin y cuál es su objetivo final. Sin embargo, dado el potencial de que esta amenaza se intensifique y el hecho de que se propaga con bastante rapidez, Microsoft la ha marcado como una campaña de alto riesgo por el momento.

Fuente: Bleeping Computer