Los malware son software maliciosos capaces de hacernos pasar un mal rato si no tenemos nuestros equipos lo suficientemente protegidos de ellos. No todos los malware son iguales, ni atacan de la misma manera, y, por supuesto, no todos tienen el mismo objetivo. Esta precisamente es la preocupación generada tras el descubrimiento de este nuevo malware (aún sin nombre), ya que hasta el momento no se ha podido identificar para qué fue diseñado.

Un malware creado por Raspberry Robin

Los investigadores de la prestigiosa firma Red Canary han sido los que han podido descubrir su existencia. Este, que de momento no tiene ningún nombre asociado, ha sido vinculado a un grupo que se hace llamar «Raspberry Robin». Este, en lugar de afectar directamente a Windows, se vale de unidades USB externas para propagarse como un gusano, nombre que reciben los virus informáticos que hacen múltiples copias de sí mismos.

A través de un archivo malicioso .LNK, el gusano se activa al conectar la unidad USB al ordenador con un proceso cmd.exe, ejecutando el archivo. Para llegar a los servidores C2, que son los encargados precisamente de lidiar con los malware, este gusano se valdría de Microsoft Standard Installer. Según apunta Red Canary en su informe, el servidor estaría alojado en un dispositivo QNAP comprometido (un disco duro o varios conectados siempre a la red), y tendría nodos de salida TOR que se utilizarían como infraestructura C2 adicional.

Con todo este proceso, lo que busca el malware es aprovechar un proceso de entrega de paquetes normal para «entregar» malware a la vez, y haciendo esto ya ha sido detectado en varias redes empresariales.

Su objetivo es todavía un misterio

Como hemos dicho justo al principio, lo que más trae de cabeza a los investigadores que descubrieron este software malicioso es que todavía no han sido capaces de identificar para que ha sido diseñado. Según apunta la propia firma:

A falta de información adicional sobre la actividad posterior y las etapas finales, es difícil sacar conclusiones sobre el objetivo o los objetivos de este tipo de campañas.

También cabe reseñar que este software deja a su paso un DLL malicioso instalado. Este tipo de archivos tienen una utilidad bastante grande, pero no son más que trozos de programa capaz de realizar varias funciones y que están alojados en un directorio de sistema. Red Canary también desconoce para qué se instala este archivo, aunque todo apunta a que podría ser para generar cierta «resistencia» en el equipo infectado, y no ser eliminado a través de reinicios.

Para este DLL, este software malicioso de Raspberry Robin se vale de dos utilidades que tiene el propio Windows: fodhelper (que ayuda a administrar funciones en la configuración de Windows) y odbcconf (una herramienta de línea de comandos que permite configurar controladores ODBC). El primero tiene como objetivo eludir el Control de cuentas de usuario, mientras que el segundo ayudará a ejecutar y configurar el propio DLL.