Un tip relativ nou de vierme Windows, cunoscut sub numele de Raspberry Robin, s-a răspândit de la victimă la victimă în toată Europa, în principal prin intermediul dispozitivelor USB. Analiștii de informații Red Canary au descoperit inițial acest vierme în septembrie 2021 și au avertizat utilizatorii Windows cu privire la potențiala amenințare pentru dispozitivele lor.
Dispozitivele USB sunt ținta principală a Raspberry Robin
Principalul vehicul de transfer pentru viermele Raspberry Robin sunt dispozitivele USB. Un dispozitiv infectat va arăta victimei un fișier .LNK la inserare, care infectează dispozitivul prin promptul de comandă prin crearea unui proces msiexec (cunoscut sub numele de msiexec.exe). Un fișier BAT este prezent și în dispozitivele infectate, care conține două comenzi.
Două instrumente Windows suplimentare sunt exploatate de către Raspberry Robin: fodhelper.exe și odbcconf.exe. În timp ce ambele sunt fișiere executabile, primul este folosit pentru a gestiona caracteristicile Windows, în timp ce al doilea este folosit pentru configurarea driverelor ODBC (Open Database Connectivity). Utilizarea acestor trei fișiere diferite permite ca Raspberry Robin să fie mai puțin ușor de detectat. Acest malware folosește și
Nodurile de ieșire TOR pentru a comunica cu restul ecosistemului său, ceea ce îl face și mai dificil de observat.Dispozitivele NAS QNAP, de asemenea, o țintă Raspberry Robin
Dispozitivele QNAP NAS (Network-Attached Storage) compromise sunt, de asemenea, exploatate în procesul de infecție cu Raspberry Robin, în care atacatorul folosește solicitări HTTP care conțin numele utilizatorului și dispozitivului victimei după ce fișierul .LNK este descărcat. Viermele folosește un DLL (Dynamic-Link Library) rău intenționat de la un dispozitiv QNAP compromis pentru a obține acces și control asupra sistemului cuiva. Dispozitivele QNAP au fost exploatate de atacatori în trecut din diverse motive, în special infecția cu malware.
Mai sunt multe de învățat despre Raspberry Robin
Raspberry Robin vizează în mod special utilizatorii Windows și sute de dispozitive au fost deja afectate. În prezent, încă nu se știe cum se răspândește Raspberry Robin de la o unitate USB la alta, ceea ce reprezintă o preocupare în ceea ce privește atenuarea infecțiilor. Într-o postare pe Blogul Red Canary, compania susține că se confruntă cu „mai multe lacune de informații” în jurul acestui val de atacuri Raspberry Robin, inclusiv intenția generală a operatorilor malware-ului.
Aveți grijă când introduceți unități USB în computer
Dinamica și obiectivele lui Raspberry Robin nu sunt încă pe deplin înțelese, ceea ce ne face mai greu să stabilim adevăratul scop și viitorul acestui malware. Prin urmare, utilizatorii Windows trebuie să fie vigilenți cu privire la unitățile USB pe care aleg să le introducă în oricare dintre dispozitivele lor.
