En relativt ny type Windows-orm, kjent som Raspberry Robin, har spredt seg fra offer til offer over hele Europa, hovedsakelig via USB-enheter. Red Canary-etterretningsanalytikere oppdaget først denne ormen i september 2021, og har advart Windows-brukere om dens potensielle trussel mot enhetene deres.
USB-enheter er hovedmålet for Raspberry Robin
Hovedoverføringsmidlet for Raspberry Robin-ormen er USB-enheter. En infisert enhet vil vise offeret en .LNK-fil ved innsetting, som infiserer enheten gjennom ledeteksten via opprettelsen av en msiexec-prosess (kjent som msiexec.exe). En BAT-fil finnes også i infiserte enheter, som inneholder to kommandoer.
To ekstra Windows-verktøy utnyttes av Raspberry Robin: fodhelper.exe og odbcconf.exe. Mens begge er kjørbare filer, brukes førstnevnte til å administrere Windows-funksjoner, mens sistnevnte brukes til konfigurasjon av ODBC-drivere (Open Database Connectivity). Ved å utnytte disse tre forskjellige filene kan Raspberry Robin være mindre lett å oppdage. Denne malware bruker også
TOR-utgangsnoder å kommunisere med resten av økosystemet, noe som også gjør det vanskeligere å få øye på.QNAP NAS-enheter er også et Raspberry Robin-mål
Kompromitterte QNAP NAS-enheter (Network-Attached Storage) utnyttes også i Raspberry Robin-infeksjonsprosessen, der angriperen bruker HTTP-forespørsler som inneholder offerets bruker- og enhetsnavn etter at .LNK-filen er lastet ned. Ormen bruker en ondsinnet DLL (Dynamic-Link Library) fra en kompromittert QNAP-enhet for å få tilgang til og kontroll over ens system. QNAP-enheter har blitt utnyttet av angripere tidligere av ulike årsaker, spesielt malware-infeksjon.
Det er fortsatt mye mer å lære om Raspberry Robin
Raspberry Robin retter seg spesifikt mot Windows-brukere, og hundrevis av enheter har allerede blitt berørt. For øyeblikket er det fortsatt ikke kjent hvordan Raspberry Robin sprer seg fra en USB-stasjon til den neste, noe som er en bekymring når det gjelder infeksjonsreduksjon. I et innlegg på Red Canary-bloggen, hevder selskapet at de har å gjøre med "flere etterretningshull" rundt denne bølgen av Raspberry Robin-angrep, inkludert den generelle intensjonen til operatørene av skadevare.
Vær forsiktig når du setter inn USB-stasjoner i datamaskinen
Raspberry Robins dynamikk og mål er fortsatt ikke helt forstått, noe som gjør det vanskeligere for oss å fastslå den sanne hensikten og fremtiden til denne skadelige programvaren. Windows-brukere må derfor være på vakt om USB-stasjonene de velger å sette inn i noen av enhetene sine.