KONGGRES.COM – Microsoft mengatakan bahwa worm Windows baru-baru ini telah ditemukan di jaringan ratusan organisasi dari berbagai sektor industri. Malware worm yang dijuluki Raspberry Robin ini menyebar melalui perangkat USB yang terinfeksi, dan pertama kali ditemukan pada bulan September tahun 2021 lalu oleh analis intelijen Red Canary.
Perusahaan keamanan siber Sekoia juga mengamatinya menggunakan perangkat QNAP NAS Sebagai server perintah dan pengendali (C2) pada awal November lalu, sementara Microsoft mengatakan menemukan bukti berbahaya yang terkait dengan Worm ini yang dibuat pada tahun 2019.
Temuan Microsoft ini selaras dengan temuan oleh tim Rekayasa Deteksi Red Canary, yang juga mendeteksi worm ini di jaringan banyak pelanggan, beberapa di antaranya adalah sektor teknologi dan manufaktur.
Meskipun Microsoft mengamati malware yang terhubung ke alamat di jaringan Tor, pelaku kejahatan di balik worm Raspberry Robin belum melakukan eksploitasi akses yang mereka peroleh dari jaringan korban mereka.
Seperti yang disebutkan di atas, Raspberry Robin menyebar ke sistem Windows baru melalui USB yang terinfeksi yang mengandung file berbahaya .LNK. Begitu perangkat USB itu ditancapkan dan pengguna mengklik link, maka worm akan memunculkan sebuah proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya yang tersimpan di drive USB.
Ini menginfeksi perangkat Windows baru, berkomunikasi dengan server perintah dan pengendali, dan mengeksekusi muatan berbahaya menggunakan beberapa utilitas Windows asli, seperti berikut ini:
- Fodhelper, sebuah binari terpercaya untuk mengelola fitur di pengaturan Windows.
- Msiexec, komponen perintah baris Windows Installer.
- Odbcconf, sebuah alat untuk mengkonfigurasi driver ODBC.
“Jika msiexec.exe mengunduh dan mengeksekusi paket pemasangan resmi, pelaku kejahatan siber juga memanfaatkannya untuk mengirimkan malware. Raspberry Robin dalam kasus ini menggunakan msiexec.exe untuk mencoba berkomunikasi dengan jaringan luar dengan tujuan menjadi domain C2 yang berbahaya,” ungkap peneliti di Red Canary.
Peneliti keamanan yang menemukan Raspberry Robin di luar sana masih belum bisa menyebut kelompok peretas mana yang terkait dengan ancaman ini, dan masih menemukan misi di balik penyebaran malware itu.
Meski demikian, pihak Microsoft telah menandai ancaman ini dengan status beresiko tinggi, mengingat bahwa penyerang bisa mengunduh dan menempatkan malware lain di dalam jaringan korban, dan mencuri hak akses kapanpun.