Egy viszonylag újfajta Windows-féreg, a Raspberry Robin néven ismert, áldozatról áldozatra terjed Európa-szerte, főleg USB-eszközökön keresztül. A Red Canary hírszerzési elemzői először 2021 szeptemberében fedezték fel ezt a férget, és figyelmeztették a Windows-felhasználókat, hogy potenciális veszélyt jelenthet eszközeikre.
Az USB-eszközök a Raspberry Robin fő célpontjai
A Raspberry Robin féreg átvitelének fő eszköze az USB-eszközök. A fertőzött eszköz beillesztéskor egy .LNK fájlt jelenít meg az áldozatnak, amely a parancssoron keresztül megfertőzi az eszközt egy msiexec folyamat (más néven msiexec.exe) létrehozásával. A fertőzött eszközökön egy BAT fájl is található, amely két parancsot tartalmaz.
A Raspberry Robin két további Windows-eszközt használ ki: a fodhelper.exe-t és az odbcconf.exe-t. Bár mindkettő végrehajtható fájl, az előbbi a Windows szolgáltatásainak kezelésére szolgál, míg az utóbbi az ODBC (Open Database Connectivity) illesztőprogramok konfigurálására szolgál. A három különböző fájl kihasználásával a Raspberry Robin kevésbé könnyen észlelhető. Ez a rosszindulatú program is használja
TOR kilépési csomópontok kommunikálni az ökoszisztéma többi részével, ami szintén bonyolultabbá teszi a felismerést.A QNAP NAS eszközök szintén Raspberry Robin célpont
A kompromittált QNAP NAS (Network-Attached Storage) eszközöket is kihasználják a Raspberry Robin fertőzési folyamatban, ahol a támadó olyan HTTP-kéréseket használ, amelyek az áldozat felhasználó- és eszköznevét tartalmazzák az .LNK fájl után letöltve. A féreg egy rosszindulatú DLL-t (Dynamic-Link Library) használ egy feltört QNAP-eszközről, hogy hozzáférjen a rendszerhez és irányíthassa azt. A QNAP eszközöket korábban is kihasználták a támadók különböző okok miatt, különösen rosszindulatú programok miatt.
Még mindig sokat kell tanulni a Raspberry Robinról
A Raspberry Robin kifejezetten a Windows-felhasználókat célozza meg, és már több száz eszköz érintett. Jelenleg még nem tudni, hogyan terjed a Raspberry Robin egyik USB-meghajtóról a másikra, ami a fertőzések mérséklése szempontjából aggodalomra ad okot. Egy bejegyzésben a a Vörös Kanári Blog, a vállalat azt állítja, hogy „több intelligenciahiánnyal” foglalkoznak a Raspberry Robin támadások hulláma körül, beleértve a rosszindulatú program üzemeltetőinek általános szándékát is.
Legyen óvatos, amikor USB-meghajtókat helyez a számítógépbe
A Raspberry Robin dinamikáját és céljait még mindig nem értjük teljesen, ami megnehezíti a rosszindulatú program valódi céljának és jövőjének meghatározását. A Windows-felhasználóknak ezért ügyelniük kell arra, hogy melyik USB-meghajtót választják eszközeikbe.