Un tipo relativamente nuovo di worm Windows, noto come Raspberry Robin, si è diffuso da una vittima all'altra in tutta Europa, principalmente tramite dispositivi USB. Gli analisti dell'intelligence di Red Canary hanno inizialmente scoperto questo worm nel settembre 2021 e hanno avvertito gli utenti Windows della sua potenziale minaccia per i loro dispositivi.
I dispositivi USB sono l'obiettivo principale di Raspberry Robin
Il principale veicolo di trasferimento del worm Raspberry Robin sono i dispositivi USB. Un dispositivo infetto mostrerà alla vittima un file .LNK al momento dell'inserimento, che infetta il dispositivo tramite il prompt dei comandi tramite la creazione di un processo msiexec (noto come msiexec.exe). Nei dispositivi infetti è presente anche un file BAT, che contiene due comandi.
Raspberry Robin sfrutta due strumenti Windows aggiuntivi: fodhelper.exe e odbcconf.exe. Sebbene entrambi siano file eseguibili, il primo viene utilizzato per gestire le funzionalità di Windows, mentre il secondo viene utilizzato per la configurazione dei driver ODBC (Open Database Connectivity). Sfruttare questi tre diversi file consente a Raspberry Robin di essere meno facilmente rilevabile. Utilizza anche questo malware
Nodi di uscita TOR per comunicare con il resto del suo ecosistema, il che lo rende anche più difficile da individuare.Dispositivi QNAP NAS Anche un target Raspberry Robin
I dispositivi QNAP NAS (Network-Attached Storage) compromessi vengono anche sfruttati nel processo di infezione di Raspberry Robin, in cui l'attaccante utilizza richieste HTTP che contengono i nomi utente e dispositivo della vittima dopo il file .LNK scaricato. Il worm utilizza una DLL (Dynamic-Link Library) dannosa da un dispositivo QNAP compromesso per ottenere l'accesso e il controllo sul proprio sistema. I dispositivi QNAP sono stati sfruttati da aggressori in passato per vari motivi, in particolare l'infezione da malware.
C'è ancora molto da imparare su Raspberry Robin
Raspberry Robin si rivolge in modo specifico agli utenti Windows e centinaia di dispositivi sono già stati interessati. Al momento, non è ancora noto come Raspberry Robin si diffonda da un'unità USB all'altra, il che è motivo di preoccupazione in termini di mitigazione delle infezioni. In un post su il Blog di Red Canary, la società afferma di avere a che fare con "diverse lacune di intelligence" attorno a questa ondata di attacchi Raspberry Robin, inclusa l'intenzione generale degli operatori del malware.
Fare attenzione quando si inseriscono unità USB nel computer
Le dinamiche e gli obiettivi di Raspberry Robin non sono ancora del tutto chiari, il che rende più difficile per noi determinare il vero scopo e il futuro di questo malware. Gli utenti Windows devono quindi prestare attenzione alle unità USB che scelgono di inserire in uno qualsiasi dei loro dispositivi.
