En relativt ny slags Windows-orm, kendt som Raspberry Robin, har spredt sig fra offer til offer over hele Europa, hovedsageligt via USB-enheder. Red Canary efterretningsanalytikere opdagede oprindeligt denne orm i september 2021 og har advaret Windows-brugere om dens potentielle trussel mod deres enheder.
USB-enheder er hovedmålet for Raspberry Robin
Det vigtigste transportmiddel for Raspberry Robin-ormen er USB-enheder. En inficeret enhed vil vise offeret en .LNK-fil ved indsættelse, som inficerer enheden via kommandoprompten via oprettelsen af en msiexec-proces (kendt som msiexec.exe). En BAT-fil er også til stede i inficerede enheder, som indeholder to kommandoer.
To yderligere Windows-værktøjer bliver udnyttet af Raspberry Robin: fodhelper.exe og odbcconf.exe. Mens begge er eksekverbare filer, bruges førstnævnte til at administrere Windows-funktioner, mens sidstnævnte bruges til konfiguration af ODBC-drivere (Open Database Connectivity). Ved at udnytte disse tre forskellige filer kan Raspberry Robin være mindre let at spore. Denne malware bruger også
TOR-udgangsnoder at kommunikere med resten af sit økosystem, hvilket også gør det sværere at få øje på.QNAP NAS-enheder er også et Raspberry Robin-mål
Kompromitterede QNAP NAS-enheder (Network Attached Storage) udnyttes også i Raspberry Robin-infektionsprocessen, hvori angriberen bruger HTTP-anmodninger, der indeholder offerets bruger- og enhedsnavne efter .LNK-filen er downloadet. Ormen bruger en ondsindet DLL (Dynamic-Link Library) fra en kompromitteret QNAP-enhed til at få adgang til og kontrol over ens system. QNAP-enheder er tidligere blevet udnyttet af angribere af forskellige årsager, især malware-infektion.
Der er stadig meget mere at lære om Raspberry Robin
Raspberry Robin retter sig specifikt mod Windows-brugere, og hundredvis af enheder er allerede blevet påvirket. I øjeblikket vides det stadig ikke, hvordan Raspberry Robin spredes fra det ene USB-drev til det næste, hvilket er en bekymring med hensyn til infektionsreduktion. I et indlæg på den røde kanariske blog, hævder virksomheden, at de beskæftiger sig med "adskillige intelligenshuller" omkring denne bølge af Raspberry Robin-angreb, inklusive den overordnede hensigt hos malware-operatørerne.
Vær forsigtig, når du indsætter USB-drev i din computer
Raspberry Robins dynamik og mål er stadig ikke helt forstået, hvilket gør det sværere for os at bestemme det sande formål og fremtiden for denne malware. Windows-brugere skal derfor være opmærksomme på de USB-drev, som de vælger at indsætte i en af deres enheder.