Un nuovo worm per PC Windows si sta diffondendo rapidamente e Microsoft avverte i professionisti della sicurezza IT, ma finora nessun aggressore ha sfruttato queste infezioni.

Secondo il servizio di notizie Bleeping ComputerMicrosoft ha inviato un avviso di rischio in un avviso privato di intelligence sulle minacce agli abbonati a Microsoft Defender per gli endpoint.

Soprannominato Raspberry Robin, si diffonde tramite dispositivi USB infetti contenenti un file .LNK dannoso mascherato da cartella legittima sul dispositivo infetto. Quando le vittime fanno clic sul file o sulla cartella, inizia la catena di infezione.

Pertanto, una delle prime difese è mettere in guardia i dipendenti sui pericoli di collegare chiavi USB da fonti sconosciute, inclusi colleghi, amici e dispositivi a terra.

La cosa allarmante è che il controllo dell’account utente (UAC) sui sistemi infetti può essere aggirato utilizzando strumenti Windows legittimi.

Il verme è stato identificato per la prima volta a maggio dai ricercatori della Red Canary. Sfrutta Windows Installer per accedere ai dispositivi di archiviazione QNAP compromessi e scaricare una DLL dannosa. Può anche utilizzare i nodi di uscita TOR come un’ulteriore infrastruttura di comando e controllo (C2).

I ricercatori di Red Canary affermano che ci sono una serie di domande senza risposta sul verme. Ciò include come o dove vengono infettate le unità esterne o perché è stato installato un file DLL dannoso. Un’ipotesi è che possa essere un tentativo di dimostrare la persistenza su un sistema infetto.

“Forse la nostra domanda più grande riguarda gli obiettivi degli operatori”, aggiungono. “In assenza di ulteriori informazioni sull’attività della fase successiva, è difficile trarre conclusioni sull’obiettivo o sugli obiettivi di queste campagne”.