Относительно новый вид червя для Windows, известный как Raspberry Robin, распространяется от жертвы к жертве по всей Европе, в основном через USB-устройства. Аналитики Red Canary впервые обнаружили этого червя в сентябре 2021 года и предупредили пользователей Windows о его потенциальной угрозе для их устройств.
USB-устройства — главная цель Raspberry Robin
Основным средством передачи червя Raspberry Robin являются USB-устройства. Зараженное устройство показывает жертве файл .LNK при вставке, который заражает устройство через командную строку путем создания процесса msiexec (известного как msiexec.exe). В зараженных устройствах также присутствует BAT-файл, который содержит две команды.
Два дополнительных инструмента Windows используются Raspberry Robin: fodhelper.exe и odbcconf.exe. Хотя оба являются исполняемыми файлами, первый используется для управления функциями Windows, а второй — для настройки драйверов ODBC (Open Database Connectivity). Использование этих трех разных файлов позволяет Raspberry Robin быть менее легко обнаруживаемым. Эта вредоносная программа также использует
Выходные узлы ТОР для связи с остальной частью своей экосистемы, что также затрудняет его обнаружение.Устройства QNAP NAS также являются целью Raspberry Robin
Скомпрометированные устройства QNAP NAS (Network-Attached Storage) также используются в процессе заражения Raspberry Robin. при этом злоумышленник использует HTTP-запросы, которые содержат имена пользователя и устройства жертвы после того, как файл .LNK скачал. Червь использует вредоносную DLL (библиотеку динамической связи) со взломанного устройства QNAP, чтобы получить доступ к системе и управлять ею. Устройства QNAP уже использовались злоумышленниками в прошлом по разным причинам, в частности, из-за заражения вредоносным ПО.
Еще многое предстоит узнать о Raspberry Robin
Raspberry Robin нацелен конкретно на пользователей Windows, и сотни устройств уже пострадали. На данный момент до сих пор неизвестно, как Raspberry Robin распространяется с одного USB-накопителя на другой, что вызывает озабоченность с точки зрения предотвращения заражения. В посте на Блог Красной Канарейки, компания утверждает, что они имеют дело с «несколькими пробелами в информации» вокруг этой волны атак Raspberry Robin, включая общие намерения операторов вредоносного ПО.
Будьте осторожны при подключении USB-накопителей к компьютеру
Динамика и цели Raspberry Robin до сих пор полностью не изучены, что усложняет нам определение истинной цели и будущего этого вредоносного ПО. Поэтому пользователи Windows должны быть бдительны в отношении USB-накопителей, которые они выбирают для вставки в любое из своих устройств.
