Suhteellisen uudenlainen Windows-mato, joka tunnetaan nimellä Raspberry Robin, on levinnyt uhrista uhriin ympäri Eurooppaa, pääasiassa USB-laitteiden kautta. Red Canaryn tiedustelupalvelun analyytikot löysivät tämän madon alun perin syyskuussa 2021 ja ovat varoittaneet Windows-käyttäjiä sen mahdollisesta uhasta heidän laitteisiinsa.
USB-laitteet ovat Raspberry Robinin pääkohde
Raspberry Robin -madon tärkein siirtoväline on USB-laitteet. Tartunnan saanut laite näyttää uhrille .LNK-tiedoston lisäyksen yhteydessä, joka saastuttaa laitteen komentokehotteen kautta luomalla msiexec-prosessin (tunnetaan nimellä msiexec.exe). Tartunnan saaneissa laitteissa on myös BAT-tiedosto, joka sisältää kaksi komentoa.
Raspberry Robin hyödyntää kahta muuta Windows-työkalua: fodhelper.exe ja odbcconf.exe. Vaikka molemmat ovat suoritettavia tiedostoja, ensimmäistä käytetään Windowsin ominaisuuksien hallintaan, kun taas jälkimmäistä käytetään ODBC (Open Database Connectivity) -ajurien määrittämiseen. Näiden kolmen eri tiedoston hyödyntäminen tekee Raspberry Robinista vaikeammin havaittavissa. Tämä haittaohjelma käyttää myös
TOR-poistumissolmut kommunikoimaan muun ekosysteeminsä kanssa, mikä tekee siitä myös vaikeampaa havaita.QNAP NAS -laitteet ovat myös Raspberry Robin -kohde
Vaarallisia QNAP NAS (Network-Attached Storage) -laitteita hyödynnetään myös Raspberry Robin -infektioprosessissa, jossa hyökkääjä käyttää HTTP-pyyntöjä, jotka sisältävät uhrin käyttäjän ja laitteen nimet .LNK-tiedoston jälkeen ladattu. Mato käyttää haitallista DLL: ää (Dynamic-Link Library) vaarantuneelta QNAP-laitteelta päästäkseen järjestelmään ja hallitakseen sitä. Hyökkääjät ovat käyttäneet QNAP-laitteita hyväkseen aiemmin eri syistä, erityisesti haittaohjelmatartunnasta.
Raspberry Robinista on vielä paljon opittavaa
Raspberry Robin on kohdistettu erityisesti Windows-käyttäjille, ja se on jo vaikuttanut satoihin laitteisiin. Tällä hetkellä ei vielä tiedetä, kuinka Raspberry Robin leviää USB-asemalta toiselle, mikä on huolestuttavaa tartuntojen lieventämisen kannalta. Postauksessa aiheesta Red Canary -blogi, yritys väittää käsittelevänsä "useita tietopuutteita" tämän Raspberry Robin -hyökkäysaallon ympärillä, mukaan lukien haittaohjelman operaattoreiden yleinen tarkoitus.
Ole varovainen, kun asetat USB-asemia tietokoneeseesi
Raspberry Robinin dynamiikkaa ja tavoitteita ei vieläkään täysin ymmärretä, minkä vuoksi meidän on vaikeampi määrittää tämän haittaohjelman todellista tarkoitusta ja tulevaisuutta. Windows-käyttäjien on siksi oltava valppaita USB-asemien suhteen, jotka he päättävät liittää mihin tahansa laitteeensa.
