Κακόβουλο λογισμικό Raspberry Robin

Μια νέα λεπτομερής απειλή έχει κυκλοφορήσει στη φύση από τα τέλη του 2021. Το κακόβουλο λογισμικό έχει δυνατότητες τύπου σκουληκιού και ονομάζεται Raspberry Robin.

Το Raspberry Robin έχει ταξινομηθεί ως κακόβουλο λογισμικό που μπορεί να παραβιαστεί. Μια σκουληκή απειλή έχει δυνατότητες που της επιτρέπουν να εξαπλώνεται χωρίς άμεσο ανθρώπινο έλεγχο και παρέμβαση.

Η απειλή εξετάστηκε και αναλύθηκε από ερευνητές της εταιρείας ασφαλείας Red Canary Intelligence. Το Raspberry Robin εντοπίστηκε για πρώτη φορά το φθινόπωρο του 2021. Το κακόβουλο λογισμικό χρησιμοποιεί μονάδες μνήμης flash USB για να εξαπλωθεί και να μολύνει μηχανήματα που βασίζονται σε Windows. Το Raspberry Robin χρησιμοποιεί αρχεία Microsoft Standard Installer .msi και άλλες έγκυρες και νόμιμες διαδικασίες για την απόθεση κακόβουλων αρχείων στο σύστημα προορισμού.

Μόλις αναπτυχθεί στο σύστημα του θύματος, το Raspberry Robin χρησιμοποιεί την εντολή msiexec για να συνδεθεί στην υποδομή του, στέλνοντας τη συσκευή θύματος και το όνομα χρήστη. Το κακόβουλο λογισμικό τύπου worm εγκαθιστά επίσης ένα κακόβουλο DLL στο παραβιασμένο σύστημα.

Υπάρχουν ακόμα κάποια αναπάντητα ερωτήματα γύρω από το Raspberry Robin. Οι ερευνητές δεν είναι σίγουροι πώς ακριβώς ο ιός τύπου worm διαδίδεται στις μονάδες flash που χρησιμοποιεί ως φορείς και εάν αυτό συμβαίνει εκτός σύνδεσης. Ο σκοπός του απορριφθέντος κακόβουλου αρχείου DLL δεν είναι επίσης βέβαιος, παρόλο που οι ερευνητές υποψιάζονται ότι χρησιμοποιείται για τη διαπίστωση της επιμονής στον κεντρικό υπολογιστή.

Ο τελικός στόχος του παράγοντα απειλής που εκτελεί την υποδομή του Raspberry Robin δεν είναι επίσης σαφής, καθώς οι ερευνητές δεν μπόρεσαν να εξετάσουν και να παρακολουθήσουν τη δραστηριότητα του κακόβουλου λογισμικού σε μεταγενέστερα στάδια της δραστηριότητάς του.

Το σκουλήκι εγκαθιστά μια συντόμευση .lnk στη μολυσμένη μονάδα flash, η οποία είναι φτιαγμένη για να μοιάζει με κανονικό φάκελο. Το Raspberry Robin χρησιμοποίησε το εργαλείο γραμμής εντολών των Windows cmd.exe για να εκτελέσει ένα αρχείο που είναι αποθηκευμένο στη μονάδα flash USB. Ένα άλλο χαρακτηριστικό γνώρισμα του κακόβουλου λογισμικού είναι η χρήση μικτών κεφαλαίων και πεζών γραμμάτων στην ορθογραφία των εντολών του, πιθανώς ως περαιτέρω προσπάθεια αποφυγής της αυτοματοποιημένης ανίχνευσης.

Το κακόβουλο λογισμικό χρησιμοποιεί msiexec και rundll32 για την εκτέλεση κακόβουλων εντολών. Αυτά χρησιμοποιούνται για την εκκίνηση και, στη συνέχεια, περαιτέρω διαμόρφωση του κακόβουλου αρχείου DLL που περιγράφεται παραπάνω.