Сравнително нов вид Windows червей, известен като Raspberry Robin, се разпространява от жертва на жертва в цяла Европа, главно чрез USB устройства. Анализаторите на разузнаването Red Canary първоначално откриха този червей през септември 2021 г. и предупредиха потребителите на Windows за неговата потенциална заплаха за техните устройства.
USB устройствата са основната цел на Raspberry Robin
Основното средство за прехвърляне на червея Raspberry Robin са USB устройства. Заразено устройство ще покаже на жертвата .LNK файл при вмъкване, който заразява устройството чрез командния ред чрез създаването на процес msiexec (известен като msiexec.exe). В заразените устройства присъства и BAT файл, който съдържа две команди.
Два допълнителни инструмента на Windows се използват от Raspberry Robin: fodhelper.exe и odbcconf.exe. Въпреки че и двата са изпълними файлове, първият се използва за управление на функции на Windows, докато вторият се използва за конфигурация на ODBC (Open Database Connectivity) драйвери. Използването на тези три различни файла позволява на Raspberry Robin да бъде по-лесно откриваем. Този зловреден софтуер също използва
TOR изходни възли да комуникира с останалата част от своята екосистема, което също го прави по-труден за забелязване.NAS устройствата на QNAP също са цел на Raspberry Robin
Компрометирани QNAP NAS (мрежови устройства за съхранение) също се използват в процеса на заразяване с Raspberry Robin, при което нападателят използва HTTP заявки, които съдържат имената на потребителя и устройството на жертвата, след като .LNK файлът е изтеглени. Червеят използва злонамерен DLL (Dynamic-Link Library) от компрометирано QNAP устройство, за да получи достъп и контрол върху нечия система. QNAP устройствата са били експлоатирани от нападатели в миналото поради различни причини, по-специално инфекция със зловреден софтуер.
Има още много да научите за Raspberry Robin
Raspberry Robin е насочен специално към потребителите на Windows и стотици устройства вече са засегнати. В момента все още не е известно как Raspberry Robin се разпространява от едно USB устройство на друго, което е проблем по отношение на смекчаването на инфекцията. В публикация на блогът на Червеното канарче, компанията твърди, че се занимава с „няколко пропуска в разузнаването“ около тази вълна от атаки на Raspberry Robin, включително цялостното намерение на операторите на зловреден софтуер.
Внимавайте, когато поставяте USB устройства в компютъра си
Динамиката и целите на Raspberry Robin все още не са напълно разбрани, което ни затруднява да определим истинската цел и бъдещето на този зловреден софтуер. Следователно потребителите на Windows трябва да бъдат бдителни за USB устройствата, които решат да поставят в което и да е от устройствата си.