Microsoft a classé à « haut risque » un nouveau logiciel malveillant, nommé « Raspberry Robin » par des chercheurs. Ce dernier permet de détourner les fonctionnalités de Windows pour ouvrir la porte à d'autres logiciels malveillants. Problème : de nombreuses zones d'ombres restent sur ses objectifs, et sur les intentions des personnes qui l'ont créé.Un étrange logiciel malveillant attire de plus en plus l'attention, et les inquiétudes. Il vise les appareils sous Windows, avec la capacité d'ouvrir une porte pour installer d'autres logiciels malveillants. Son nom ? Raspberry Robin, littéralement le « rouge-gorge framboise ». Ce sont les chercheurs de Red Canary qui l'ont ainsi baptisé après l'avoir détecté pour la première fois chez leurs clients en septembre 2021. L'équipe de recherche de l'entreprise française Sekoia a elle aussi étudié cette nouvelle menace, sous le nom moins rutilant « QNAP worm ».
Début juillet 2022, dans un rapport repéré par le Bleeping Computer, Microsoft (l'éditeur de Windows) a expliqué avoir elle-même détecté des centaines de réseaux affectés par Raspberry Robin. Le géant américain a donc classé la campagne [nom donné à une vague d'attaque, ndlr] malveillante dans la catégorie « haut risque ». Mais si le logiciel malveillant parvient effectivement à obtenir toutes les conditions pour causer des dégâts potentiellement importants chez ses victimes, les chercheurs n'ont pour l'instant trouvé aucun signe d'une telle activité. Le mystère de cette inaction laisse planer un épais brouillard sur l'identité et les intentions des personnes qui l'ont créé et déployé.
Comment Raspberry Robin infecte-t-il les victimes ?
Dans le jargon, Raspberry Robin entre dans la catégorie des vers informatiques. Ce terme désigne la capacité d'un logiciel malveillant à se répandre sur les différents appareils connectés à un réseau, automatiquement. D'après les chercheurs de Sekoia, Raspberry Robin se diffuse sans exploiter de vulnérabilités [des défauts logiciels, ndlr]. Concrètement, il actionne des fonctionnalités légitimes de Windows pour passer d'une machine à l'autre.
Les premiers cas d'infection détectés par les chercheurs avaient pour origine des connexions à des appareils de stockage de données de la marque QNAP, infectés en amont par les attaquants. Mais depuis, ces derniers auraient diversifié leur infrastructure d'attaque. Ils utilisent notamment des box internet infectées pour déployer le logiciel malveillant en Allemagne.
