Attention à certaines clés USB ! Ce malware peut prendre possession de votre PC en un rien de temps

13 mai 2022 à 11h52
16
clé usb
Mieux vaut faire très attention aux fichiers contenus dans les clés USB que vous manipulez © Shutterstock

Raspberry Robin n'est, hélas, pas le nom d'une nouvelle variété de framboise, mais celui d'un ver informatique, soit un logiciel malveillant utilisant le réseau pour se reproduire sur plusieurs appareils, repéré par Red Canary depuis bientôt neuf mois.

Le principal problème de Raspberry Robin, c'est qu'il se propage principalement par le biais de systèmes de stockage amovibles compromis, tels que des clés USB. Une méthode ancestrale toujours aussi efficace.

Un nouveau ver a pour principal hôte les clés USB

La vigilance est, une fois encore, de mise. En effet, Red Canary affirme suivre un ver se propageant par le biais de systèmes de stockage de fichiers amovibles d'appareil en appareil. Et l'enjeu réside tout d'abord en sa facilité de transmission, puisqu'il est très aisé de connecter une clé à un ordinateur sans réaliser de scan antivirus préalable, qui plus est dans un climat de confiance, par exemple au travail.

Très insidieux, ce ver dénommé Raspberry Robin emploie et trompe le moteur d'installation et de désinstallation de logiciels de Microsoft, Windows Installer. L'infection commence par un port amovible contenant une extension de fichier malicieuse « .lnk », qui, en temps normal, s'emploie pour les raccourcis de fichiers tout à fait légitimes. Les fichiers téléchargés depuis la clé USB vers l'ordinateur, y compris les malicieux, sont ensuite exécutés par la victime via cmd.exe.

Enfin, Windows Installer (msiexec.exe) va aider, malgré lui, le ver à atteindre des serveurs de contrôle et de commande (dits C2). Selon Red Canary, l'infrastructure C2 de Raspberry Robin emploie des nœuds de sortie TOR.


Pour l'heure, difficile de comprendre les intentions qui se cachent derrière ce virus

L'objectif final du ver est de permettre la création d'une bibliothèque logicielle (DLL) malveillante. L'exécuteur rundll32.exe engage l'exécution par l'utilitaire Windows, toujours malgré lui, de la DLL, ce qui favorise, de fait, un maintien du malware sur l'appareil infecté. Telle est la piste principale des chercheurs de Red Canary, mais l'enquête étant toujours en cours, cette hypothèse peut être amenée à évoluer.

L'interrogation demeure également quant à la finalité recherchée par les pirates à l'origine de ce malware. Red Canary a détecté pour la première fois ce ver en septembre 2021 et constate que sa présence augmente sur de nombreux appareils depuis janvier 2022. Heureusement, Red Canary propose d'ores et déjà, sur son site, plusieurs moyens de détecter ce virus.

Source : Red Canary

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
16
11
Bombing_Basta
Méfiez-vous des clés USB ! Ce malware peut prendre possession de votre PC en un rien de temps<br /> Ok, je retourne de ce clic à carrouf acheter un micro-ondes pour cramer la clé toute neuve que je viens de leur acheter… Ainsi que toutes celles que j’ai chez moi depuis que j’ai eu mon premier PC.<br /> Connaissez-vous une caverne ou je peux me planquer de tout ce danger incontrôlable ?<br /> PS : au cas où ce n’était pas clair, c’est 200% ironique, marre de ces titres péripatéticlics… Par pitié laissez ce genre de titres pour faire peur aux gens, et donc forcer le clic, aux autres, c’est juste insupportable de voir ça sur Clubic !<br /> Edit : et tout ça pour nous dire à la fin que seules les clés QNAP sont impactées en plus ?!?
shuret
C’est surtout qu’une bibliothèque logicielle c’est une DLL et pas une DDL, et que l’exécuteur c’est rundll32.exe et pas rund1132.exe…
Bombing_Basta
Pt1 ça y est je suis saoulé, j’ai l’impression de visiter gala…
Bombing_Basta
Nan mais on ne peut pas concocter un titre voicièsque ET EN PLUS rédiger correctement l’article !
Felaz
Vous avez tout à fait le droit de ne pas aimer cet article et de le dire, mais « No flood » s’il vous plaît NB : on a précisé que cela ne concerne que « certaines » clés dans le titre
Bombing_Basta
Ce n’est pas l’article le problème, c’est le traitement apporté au sujet et, oh mon dieu, ce « titre ».<br /> Faut juste arrêter cette dérive, et passer le temps perdu à trouver ce genre de titre, à améliorer le contenu qui comme l’a noté mon co-forumeur au-dessus, contient de belles bévues.<br /> Mon but n’était pas de flooder.
Murphy-Law
@Felaz :<br /> Au moins, mettez à jour l’article…<br /> M’enfin « rund1132.exe » à la place de « rundll32.exe »… ne me dites pas que vous utilisez un OCR pour scanner des articles papier !
Pretarian
Aïe aïe aïe, beaucoup d’imprécisions. Voici l’article originale Raspberry Robin gets the worm early<br /> Pour les anglophobes, mêm la traduction autmatique permet de comprendre dans les grande ligne le déroulement de l’attaque. en gros:<br /> Une clé usb contient un fichier .lnk malicieux prenant la forme d’un dossier légitme.<br /> la victime clique dessus et déclenche la chaîne d’exécution: cmd.exe appelle msiexec.exe qui va télécharger une dll véreuse et ainsi de suite.<br /> Les C&amp;C sont des NAS QNAP qui ont été compromis. Aucune rapport avec des clés usb de marque QNAP.
Popoulo
Soit j’ai pas compris l’article original, soit il n’est nullement question de « clés USB fabriquées par QNAP ».<br /> → « Red Canary suit un ver propagé par des disques externes qui exploite Windows Installer pour atteindre les domaines associés à QNAP »<br /> Toujours à la fin de l’article, il est résumé très clairement comment fonctionne ce worm :<br /> Il est introduit sur l’ordi via un disque amovible infecté comme un périphérique USB (nullement question explicitement de clefs usb de quelque marque que ce soit)<br /> Exécute un code malicieux qui se connecte à une URL (QNAP associated) - Ceux qui ont des NAS comprendront de quoi il s’agit.<br /> Si c’est ok, ça télécharge bouzin.<br /> Se sert de Rundll et Obdc pour exécuter la DLL.<br /> Connection au Tor nodes comme infrastructure de commande et de contrôle<br /> Une fois connecté, le ver est en mesure de communiquer le nom d’utilisateur et d’appareil. Mais à priori pas le mot de passe.<br /> Et pour finir, d’après VirusCentral, il est détecté par l’av de base de Windows.
Popoulo
Un peu d’indulgence. Si y a erreur, ça sera corrigé.<br /> L’article est destiné à la plus grande majorité de personnes, à titre informatif. Pas uniquement aux chevronnés/professionnels que nous sommes. Après, effectivement, ça peut déraper lors de la rédaction mais pas besoin de leur gueuler dessus.
Palou
Popoulo:<br /> Un peu d’indulgence. Si y a erreur, ça sera corrigé.<br /> Un peu d’indulgence pour ce membre, c’est apparemment son seul loisir …
serged
Il suffit très bêtement de :<br /> Dans les options de l’explorateur de fichiers de décocher « Masquer les extensions des fichiers dont le type est connu » (je sais c’est bien planqué, je soupçonne Mickeysoft de le faire exprès)<br /> de désactiver l’exécution des média à l’insertion des média (même remarque qu’au-dessus)<br /> Sinon d’utiliser un OS digne de confiance…
SPH
Exact Popoulo.<br /> Ceux qui trouvent que des articles sont mieux écrits sur un autre site, qu’ils ne se gênent pas pour quitter Cluclu…
Popoulo
@serged : « Sinon d’utiliser un OS digne de confiance… » : l’av par défaut bloque ce ver. Aucun soucis si l’utilisateur ne fait pas n’importe quoi.<br /> @SPH : On peut gueuler… mais avec un minimum de politesse. Après c’est important de signaler si erreur il y a ou si la personne qui a écrit l’article s’est égarée.<br /> @Palou : Y a manière de dire les choses même si on est pas d’accord. C’est cool ce genre d’articles mais c’est un domaine ou on a vite fait de s’emmêler les pédales. Et une correction - s’il y a boulette - est bénéfique pour tous.<br /> ps : Par contre ça serait sympa que le contributeur nous dise si c’est nous qu’on fabule ou s’il y a effectivement eu un problème dans la rédaction de l’article.
Peggy10Huitres
C’est surtout qu’une bibliothèque logicielle c’est une DLL et pas une DDL, et que l’exécuteur c’est rundll32.exe et pas rund1132.exe…<br /> DDL pour Direct Download, rund1132.exe étant le crack/trojan à exécuter …
Peggy10Huitres
Les C&amp;C sont des NAS QNAP qui ont été compromis. Aucune rapport avec des clés usb de marque QNAP.<br /> amazon.fr<br /> QNAP clé pour disque dur, 4500700270300RS : Amazon.fr: Informatique<br /> Nouveau<br /> 15,42€<br />
Voir tous les messages sur le forum

Lectures liées

Un chercheur en cybersécurité montre comment pirater une Tesla via une faille Bluetooth
Piratage : le site de téléchargement Tirexo n'est pas mort et devient PapaFlix.com
Le spyware Predator a infecté des smartphones Android en exploitant une faille 0-day
3 bons plans VPN pour assurer votre sécurité en ligne
Ces deux failles critiques ont été exploitées par des hackers d'État
Pwn2Own : Windows 11 et Microsoft Teams hackés, plusieurs fois
Google dépose le bilan en Russie
Ce nouveau hack permet de récupérer vos informations bancaires
Surfshark VPN s'offre enfin une interface sous Linux
Ces 200 applications Android vous espionnent et volent vos données, supprimez-les d'urgence !
Haut de page