Raspberry Robin Malware
En nyligt detaljeret trussel har været ude i naturen siden slutningen af 2021. Malwaren har ormlignende egenskaber og hedder Raspberry Robin.
Raspberry Robin er klassificeret som ormelig malware. En ormbar trussel har egenskaber, der tillader den at sprede sig uden direkte menneskelig kontrol og indgriben.
Truslen blev undersøgt og analyseret af forskere med sikkerhedsfirmaet Red Canary Intelligence. Raspberry Robin blev første gang opdaget i efteråret 2021. Malwaren bruger USB-flash-hukommelsesdrev til at sprede og inficere Windows-baserede maskiner. Raspberry Robin bruger Microsoft Standard Installer .msi-filer og andre gyldige og legitime processer til at slippe ondsindede filer til målsystemet.
Når den først er installeret på offersystemet, bruger Raspberry Robin kommandoen msiexec til at oprette forbindelse til dets infrastruktur, og sender offerets enhed og brugernavn ud. Den ormlignende malware installerer også en ondsindet DLL på det kompromitterede system.
Der er stadig nogle ubesvarede spørgsmål omkring Raspberry Robin. Forskere er ikke sikre på, hvordan ormen præcist forplanter sig ind i de flashdrev, den bruger som bærere, og om dette sker offline. Formålet med den tabte ondsindede DLL-fil er heller ikke sikker, selvom forskere har mistanke om, at den bruges til at etablere persistens på værtsmaskinen.
Slutmålet for trusselsaktøren, der kører Raspberry Robins infrastruktur, er heller ikke klart, da forskere ikke har været i stand til at undersøge og overvåge malwarens aktivitet på senere stadier af dens aktivitet.
Ormen planter en .lnk-genvej på det inficerede flashdrev, som er lavet til at ligne en normal mappe. Raspberry Robin brugte Windows-kommandolinjeværktøjet cmd.exe til at udføre en fil gemt på USB-flashdrevet. Et andet karakteristisk træk ved malwaren er brugen af blandede store og små bogstaver i stavningen af dens kommandoer, muligvis som et yderligere forsøg på at undvige automatisk registrering.
Malwaren bruger msiexec og rundll32 til at udføre ondsindede kommandoer. Disse bruges til at starte og derefter yderligere konfigurere den ondsindede DLL-fil beskrevet ovenfor.
