Исследователи кибербезопасности обнаружили новое вредоносное ПО для Windows, которое распространяется с помощью съёмных USB-устройств. ПО использует установщик Windows для загрузки вредоносной DLL.
Эксперты уже дали название новому вирусу — Raspberry Robin. Известно, что первая активность была замечена ещё в сентябре 2021 года, при этом целью программы являются компании, относящиеся к технологическому и производственному секторам.
Атака, связанная с Raspberry Robin, начинается с подключения заражённого USB-накопителя к компьютеру с Windows. В USB-накопителе присутствует полезная нагрузка трояна, которая выглядит как файл ярлыка с расширением .LNK.
После подключения вредоносное ПО запускает cmd.exe для чтения и выполнения вредоносного файла. После этого следует запуск explorer.exe и msiexec.exe. Последний используется для связи с мошенническим доменом в целях управления и контроля (C2).
«Мы также не знаем, почему Raspberry Robin устанавливает вредоносную DLL», — заявили исследователи. «Одна из гипотез состоит в том, что это может быть попытка установить постоянство в зараженной системе».