Microsoft prévient les professionnels de la sécurité informatique qu’un nouveau ver affectant les ordinateurs sous Windows se propage rapidement mais jusqu’à présent, aucun attaquant n’aurait profité des infections.
Selon le service d’information Bleeping Computer, Microsoft a envoyé une alerte concernant le danger dans un avis de renseignements sur les menaces confidentiel aux abonnés de Microsoft Defender for Endpoint.
Surnommé Raspberry Robin, il se propage via des périphériques USB infectés contenant un fichier .LNK malveillant se faisant passer pour un dossier légitime sur le périphérique infecté. Lorsque les victimes cliquent sur le fichier ou le dossier, la chaîne d’infection démarre.
L’une des premières défenses consiste donc à avertir les employés des dangers de brancher des clés USB provenant de sources inconnues, y compris des collègues, des amis et des appareils trouvés par terre.
Ce qui est alarmant, c’est qu’il peut contourner le contrôle de compte d’utilisateur (UAC) sur les systèmes infectés à l’aide d’outils Windows légitimes.
Le ver a été identifié pour la première fois en mai par des chercheurs de Red Canary. Il exploite Windows Installer pour atteindre les périphériques de stockage QNAP compromis et télécharger une DLL malveillante. Il peut également utiliser des nœuds de sortie TOR comme infrastructure de commande et de contrôle (C2) supplémentaire.
Un certain nombre de questions sur ce ver demeurent sans réponse, disent les chercheurs de Red Canary. Cela inclut comment et où les lecteurs externes sont infectés, ou pourquoi il installe une DLL malveillante. Une hypothèse est qu’il peut s’agir d’une tentative d’établissement de la persistance sur un système infecté.
« Peut-être que notre plus grande question concerne les objectifs des opérateurs », ajoutent-ils. « En l’absence d’informations supplémentaires sur l’activité à un stade ultérieur, il est difficile de faire des déductions sur l’objectif ou les objectifs de ces campagnes. »
Lire aussi :
Les fournisseurs d’accès Internet devront bloquer les réseaux zombie
Un palmarès canadien des escroqueries en ligne
Des entreprises canadiennes devront signaler les cyberattaques en vertu de la loi proposée
Adaptation et traduction française par Renaud Larue-Langlois
