Attention à certaines clés USB ! Ce malware peut prendre possession de votre PC en un rien de temps

Publié le 13 mai 2022 à 11h52

Mieux vaut faire très attention aux fichiers contenus dans les clés USB que vous manipulez © Shutterstock

Raspberry Robin n'est, hélas, pas le nom d'une nouvelle variété de framboise, mais celui d'un ver informatique, soit un logiciel malveillant utilisant le réseau pour se reproduire sur plusieurs appareils, repéré par Red Canary depuis bientôt neuf mois.

Le principal problème de Raspberry Robin, c'est qu'il se propage principalement par le biais de systèmes de stockage amovibles compromis, tels que des clés USB. Une méthode ancestrale toujours aussi efficace.

Un nouveau ver a pour principal hôte les clés USB

La vigilance est, une fois encore, de mise. En effet, Red Canary affirme suivre un ver se propageant par le biais de systèmes de stockage de fichiers amovibles d'appareil en appareil. Et l'enjeu réside tout d'abord en sa facilité de transmission, puisqu'il est très aisé de connecter une clé à un ordinateur sans réaliser de scan antivirus préalable, qui plus est dans un climat de confiance, par exemple au travail.

Très insidieux, ce ver dénommé Raspberry Robin emploie et trompe le moteur d'installation et de désinstallation de logiciels de Microsoft, Windows Installer. L'infection commence par un port amovible contenant une extension de fichier malicieuse « .lnk », qui, en temps normal, s'emploie pour les raccourcis de fichiers tout à fait légitimes. Les fichiers téléchargés depuis la clé USB vers l'ordinateur, y compris les malicieux, sont ensuite exécutés par la victime via cmd.exe.

Enfin, Windows Installer (msiexec.exe) va aider, malgré lui, le ver à atteindre des serveurs de contrôle et de commande (dits C2). Selon Red Canary, l'infrastructure C2 de Raspberry Robin emploie des nœuds de sortie TOR.

Pour l'heure, difficile de comprendre les intentions qui se cachent derrière ce virus

L'objectif final du ver est de permettre la création d'une bibliothèque logicielle (DLL) malveillante. L'exécuteur rundll32.exe engage l'exécution par l'utilitaire Windows, toujours malgré lui, de la DLL, ce qui favorise, de fait, un maintien du malware sur l'appareil infecté. Telle est la piste principale des chercheurs de Red Canary, mais l'enquête étant toujours en cours, cette hypothèse peut être amenée à évoluer.

L'interrogation demeure également quant à la finalité recherchée par les pirates à l'origine de ce malware. Red Canary a détecté pour la première fois ce ver en septembre 2021 et constate que sa présence augmente sur de nombreux appareils depuis janvier 2022. Heureusement, Red Canary propose d'ores et déjà, sur son site, plusieurs moyens de détecter ce virus.

Source : Red Canary

Par Thibaut Keutchayan

Je m'intéresse notamment aux problématiques liant nouvelles technologies et politique tout en m'ouvrant à l'immense diversité des sujets que propose le monde de la tech' quand je ne suis pas en train de taper dans un ballon.

Articles de Thibaut Keutchayan

Piratage

Malware / Ransomware

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Bombing_Basta

Méfiez-vous des clés USB ! Ce malware peut prendre possession de votre PC en un rien de temps

Ok, je retourne de ce clic à carrouf acheter un micro-ondes pour cramer la clé toute neuve que je viens de leur acheter… Ainsi que toutes celles que j’ai chez moi depuis que j’ai eu mon premier PC.

Connaissez-vous une caverne ou je peux me planquer de tout ce danger incontrôlable ?

PS : au cas où ce n’était pas clair, c’est 200% ironique, marre de ces titres péripatéticlics… Par pitié laissez ce genre de titres pour faire peur aux gens, et donc forcer le clic, aux autres, c’est juste insupportable de voir ça sur Clubic !

Edit : et tout ça pour nous dire à la fin que seules les clés QNAP sont impactées en plus ?!?

shuret

C’est surtout qu’une bibliothèque logicielle c’est une DLL et pas une DDL, et que l’exécuteur c’est rundll32.exe et pas rund1132.exe…

Bombing_Basta

Pt1 ça y est je suis saoulé, j’ai l’impression de visiter gala…

Bombing_Basta

Nan mais on ne peut pas concocter un titre voicièsque ET EN PLUS rédiger correctement l’article !

Felaz

Vous avez tout à fait le droit de ne pas aimer cet article et de le dire, mais « No flood » s’il vous plaît NB : on a précisé que cela ne concerne que « certaines » clés dans le titre

Bombing_Basta

Ce n’est pas l’article le problème, c’est le traitement apporté au sujet et, oh mon dieu, ce « titre ».

Faut juste arrêter cette dérive, et passer le temps perdu à trouver ce genre de titre, à améliorer le contenu qui comme l’a noté mon co-forumeur au-dessus, contient de belles bévues.

Mon but n’était pas de flooder.

Murphy-Law

@Felaz :
Au moins, mettez à jour l’article…
M’enfin « rund1132.exe » à la place de « rundll32.exe »… ne me dites pas que vous utilisez un OCR pour scanner des articles papier !

Pretarian

Aïe aïe aïe, beaucoup d’imprécisions. Voici l’article originale Raspberry Robin gets the worm early

Pour les anglophobes, mêm la traduction autmatique permet de comprendre dans les grande ligne le déroulement de l’attaque. en gros:

Une clé usb contient un fichier .lnk malicieux prenant la forme d’un dossier légitme.
la victime clique dessus et déclenche la chaîne d’exécution: cmd.exe appelle msiexec.exe qui va télécharger une dll véreuse et ainsi de suite.

Les C&C sont des NAS QNAP qui ont été compromis. Aucune rapport avec des clés usb de marque QNAP.

Popoulo

Soit j’ai pas compris l’article original, soit il n’est nullement question de « clés USB fabriquées par QNAP ».
→ « Red Canary suit un ver propagé par des disques externes qui exploite Windows Installer pour atteindre les domaines associés à QNAP »

Toujours à la fin de l’article, il est résumé très clairement comment fonctionne ce worm :

Il est introduit sur l’ordi via un disque amovible infecté comme un périphérique USB (nullement question explicitement de clefs usb de quelque marque que ce soit)
Exécute un code malicieux qui se connecte à une URL (QNAP associated) - Ceux qui ont des NAS comprendront de quoi il s’agit.
Si c’est ok, ça télécharge bouzin.
Se sert de Rundll et Obdc pour exécuter la DLL.
Connection au Tor nodes comme infrastructure de commande et de contrôle

Une fois connecté, le ver est en mesure de communiquer le nom d’utilisateur et d’appareil. Mais à priori pas le mot de passe.

Et pour finir, d’après VirusCentral, il est détecté par l’av de base de Windows.

Popoulo

Un peu d’indulgence. Si y a erreur, ça sera corrigé.

L’article est destiné à la plus grande majorité de personnes, à titre informatif. Pas uniquement aux chevronnés/professionnels que nous sommes. Après, effectivement, ça peut déraper lors de la rédaction mais pas besoin de leur gueuler dessus.