Stosunkowo nowy rodzaj robaka Windows, znany jako Raspberry Robin, rozprzestrzenia się z ofiary na ofiarę w całej Europie, głównie za pośrednictwem urządzeń USB. Analitycy wywiadu Red Canary wykryli tego robaka we wrześniu 2021 r. i ostrzegli użytkowników systemu Windows o potencjalnym zagrożeniu dla ich urządzeń.
Urządzenia USB są głównym celem Raspberry Robin
Głównym nośnikiem transferu dla robaka Raspberry Robin są urządzenia USB. Zainfekowane urządzenie po wstawieniu pokaże ofierze plik .LNK, który infekuje urządzenie za pomocą wiersza poleceń, tworząc proces msiexec (znany jako msiexec.exe). Na zainfekowanych urządzeniach znajduje się również plik BAT, który zawiera dwa polecenia.
Raspberry Robin wykorzystuje dwa dodatkowe narzędzia Windows: fodhelper.exe i odbcconf.exe. Chociaż oba są plikami wykonywalnymi, ten pierwszy służy do zarządzania funkcjami systemu Windows, a drugi służy do konfiguracji sterowników ODBC (Open Database Connectivity). Wykorzystanie tych trzech różnych plików sprawia, że Raspberry Robin jest mniej wykrywalny. To złośliwe oprogramowanie również używa
Węzły wyjściowe TOR komunikować się z resztą swojego ekosystemu, co również utrudnia jego wykrycie.Urządzenia QNAP NAS to także cel Raspberry Robin
Zaatakowane urządzenia QNAP NAS (Network-Attached Storage) są również wykorzystywane w procesie infekcji Raspberry Robin, w którym atakujący używa żądań HTTP, które zawierają nazwy użytkowników i urządzeń ofiary po pliku .LNK jest pobrany. Robak wykorzystuje złośliwą bibliotekę DLL (Dynamic-Link Library) z zaatakowanego urządzenia QNAP w celu uzyskania dostępu do systemu i kontroli nad nim. Urządzenia QNAP były w przeszłości wykorzystywane przez atakujących z różnych powodów, w szczególności infekcji złośliwym oprogramowaniem.
Wciąż jest wiele więcej do nauczenia się o Raspberry Robin
Raspberry Robin jest skierowany w szczególności do użytkowników systemu Windows, a setki urządzeń zostały już dotknięte. W tej chwili nadal nie wiadomo, w jaki sposób Raspberry Robin rozprzestrzenia się z jednego dysku USB na drugi, co stanowi problem pod względem łagodzenia infekcji. W poście na Red Canary Blog, firma twierdzi, że ma do czynienia z „kilkiem luk w inteligencji” związanych z tą falą ataków Raspberry Robina, w tym z ogólną intencją operatorów szkodliwego oprogramowania.
Zachowaj ostrożność podczas wkładania dysków USB do komputera
Dynamika i cele Raspberry Robina wciąż nie są w pełni zrozumiałe, co utrudnia nam określenie prawdziwego celu i przyszłości tego złośliwego oprogramowania. Użytkownicy systemu Windows muszą zatem uważać na dyski USB, które zdecydują się włożyć do dowolnego ze swoich urządzeń.