En relativt ny typ av Windows-mask, känd som Raspberry Robin, har spridits från offer till offer över hela Europa, främst via USB-enheter. Red Canary-underrättelseanalytiker upptäckte ursprungligen denna mask i september 2021 och har varnat Windows-användare för dess potentiella hot mot deras enheter.
USB-enheter är det huvudsakliga målet för Raspberry Robin
Det huvudsakliga överföringsmedlet för Raspberry Robin-masken är USB-enheter. En infekterad enhet kommer att visa offret en .LNK-fil vid insättning, som infekterar enheten via kommandotolken via skapandet av en msiexec-process (känd som msiexec.exe). En BAT-fil finns också i infekterade enheter, som innehåller två kommandon.
Två ytterligare Windows-verktyg utnyttjas av Raspberry Robin: fodhelper.exe och odbcconf.exe. Medan båda är körbara filer, används den förra för att hantera Windows-funktioner, medan den senare används för konfiguration av ODBC-drivrutiner (Open Database Connectivity). Att utnyttja dessa tre olika filer gör att Raspberry Robin är mindre lätt att upptäcka. Denna malware använder också
TOR utgångsnoder att kommunicera med resten av sitt ekosystem, vilket också gör det svårare att upptäcka.QNAP NAS-enheter är också ett Raspberry Robin-mål
Kompromissade QNAP NAS-enheter (Network Attached Storage) utnyttjas också i Raspberry Robin-infektionsprocessen, där angriparen använder HTTP-förfrågningar som innehåller offrets användar- och enhetsnamn efter att .LNK-filen är nedladdade. Masken använder en skadlig DLL (Dynamic-Link Library) från en komprometterad QNAP-enhet för att få tillgång till och kontroll över sitt system. QNAP-enheter har utnyttjats av angripare tidigare av olika anledningar, särskilt skadlig programvara.
Det finns fortfarande mycket mer att lära sig om Raspberry Robin
Raspberry Robin riktar sig specifikt till Windows-användare, och hundratals enheter har redan påverkats. I nuläget är det fortfarande inte känt hur Raspberry Robin sprider sig från en USB-enhet till en annan, vilket är ett bekymmer när det gäller infektionsreducering. I ett inlägg på Red Canary-bloggen, hävdar företaget att de har att göra med "flera intelligensluckor" kring denna våg av Raspberry Robin-attacker, inklusive den övergripande avsikten hos skadlig programvaras operatörer.
Var försiktig när du sätter i USB-enheter i din dator
Raspberry Robins dynamik och mål är fortfarande inte helt förstått, vilket gör det svårare för oss att avgöra det verkliga syftet och framtiden för denna skadliga programvara. Windows-användare måste därför vara vaksamma på de USB-enheter som de väljer att sätta in i någon av sina enheter.