Een relatief nieuw soort Windows-worm, bekend als Raspberry Robin, verspreidt zich van slachtoffer naar slachtoffer in heel Europa, voornamelijk via USB-apparaten. Inlichtingenanalisten van Red Canary ontdekten deze worm voor het eerst in september 2021 en hebben Windows-gebruikers gewaarschuwd voor de potentiële bedreiging voor hun apparaten.
USB-apparaten zijn het belangrijkste doelwit van Raspberry Robin
Het belangrijkste overdrachtsmiddel voor de Raspberry Robin-worm zijn USB-apparaten. Een geïnfecteerd apparaat toont het slachtoffer een .LNK-bestand bij het inbrengen, dat het apparaat infecteert via de opdrachtprompt via het maken van een msiexec-proces (bekend als msiexec.exe). Op geïnfecteerde apparaten is ook een BAT-bestand aanwezig, dat twee opdrachten bevat.
Twee extra Windows-tools worden door Raspberry Robin uitgebuit: fodhelper.exe en odbcconf.exe. Hoewel beide uitvoerbare bestanden zijn, wordt de eerste gebruikt om Windows-functies te beheren, terwijl de laatste wordt gebruikt voor de configuratie van ODBC-stuurprogramma's (Open Database Connectivity). Door gebruik te maken van deze drie verschillende bestanden is Raspberry Robin minder gemakkelijk detecteerbaar. Deze malware gebruikt ook
TOR exit-knooppunten om te communiceren met de rest van zijn ecosysteem, waardoor het ook lastiger te herkennen is.QNAP NAS-apparaten ook een Raspberry Robin-doelwit
Gecompromitteerde QNAP NAS-apparaten (Network-Attached Storage) worden ook misbruikt in het Raspberry Robin-infectieproces, waarbij de aanvaller HTTP-verzoeken gebruikt die de gebruikers- en apparaatnamen van het slachtoffer bevatten nadat het .LNK-bestand is gedownload. De worm gebruikt een kwaadaardige DLL (Dynamic-Link Library) van een gecompromitteerd QNAP-apparaat om toegang te krijgen tot en controle te krijgen over iemands systeem. QNAP-apparaten zijn in het verleden misbruikt door aanvallers om verschillende redenen, met name malware-infectie.
Er valt nog veel meer te leren over Raspberry Robin
Raspberry Robin richt zich specifiek op Windows-gebruikers en honderden apparaten zijn al getroffen. Op dit moment is het nog steeds niet bekend hoe Raspberry Robin zich van de ene USB-drive naar de andere verspreidt, wat een punt van zorg is in termen van infectiebeperking. In een bericht op de Red Canarische Blog, beweert het bedrijf dat ze te maken hebben met "verschillende hiaten in de intelligentie" rond deze golf van Raspberry Robin-aanvallen, inclusief de algemene bedoeling van de malware-exploitanten.
Wees op uw hoede bij het plaatsen van USB-drives in uw computer
De dynamiek en doelstellingen van Raspberry Robin worden nog steeds niet helemaal begrepen, wat het voor ons moeilijker maakt om het ware doel en de toekomst van deze malware te bepalen. Windows-gebruikers moeten daarom waakzaam zijn over de USB-drives die ze in een van hun apparaten willen plaatsen.