Microsoft heeft een gevaarlijke Windows-worm gespot op bedrijfsnetwerken van honderden organisaties in verschillende sectoren. De dreiging is genaamd ‘Raspberry Robin’ en wordt verspreid via usb-apparaten. Dat blijkt uit een rapport van Bleeping Computer. Microsoft brengt momenteel Microsoft Defender for Endpoint-gebruikers op de hoogte van de dreiging.
Onderzoekers van Red Canary Intelligence ontdekte Raspberry Robin in september 2021. Volgens informatie is de malware gevonden in de netwerken van honderden bedrijven uit een breed scala van industrieën. De onderzoekers beschrijven de malware als een worm die voornamelijk wordt verspreid via usb-apparaten. Eenmaal in een netwerk kan Raspberry Robin zich vervolgens verspreiden en andere systemen binnendringen.
De bevindingen van Microsoft komen overeen met die van het Red Canary Detection Engineering-team. Microsoft heeft de worm en bijbehorende adressen in het Tor-netwerk gevonden, maar het lijkt erop dat deze nog steeds inactief is. Dit betekent dat onbekende personen toegang hebben gekregen, maar deze nog niet zodanig hebben uitgebuit dat gegevens zijn verzonden.
De worm infecteert nieuwe Windows-apparaten, communiceert met zijn command and control (C2)-servers en voert kwaadaardige payloads uit via verschillende legitieme Windows-hulpprogramma’s. “Raspberry Robin gebruikt msiexec.exe om externe netwerkcommunicatie naar een kwaadaardig domein te proberen voor C2-doeleinden”, aldus de bevindingen van Microsoft.
Volgens Microsoft is het beveiligingsrisico ‘hoog’. omdat de aanvallers op elk moment aanvullende malware kunnen downloaden en installeren op de netwerken van de slachtoffers.