Raspberry Robin Malware
Egy újonnan részletezett fenyegetés 2021 vége óta szabadul a természetben. A rosszindulatú program féregszerű képességekkel rendelkezik, és a neve Raspberry Robin.
A Raspberry Robin a féregteleníthető rosszindulatú programok közé tartozik. A féreghajtó fenyegetés olyan képességekkel rendelkezik, amelyek lehetővé teszik, hogy közvetlen emberi irányítás és beavatkozás nélkül terjedjen.
A fenyegetést a Red Canary Intelligence biztonsági cég kutatói vizsgálták és elemezték. A Raspberry Robint először 2021 őszén észlelték. A kártevő USB flash memória meghajtókat használ a Windows alapú gépek terjesztésére és megfertőzésére. A Raspberry Robin a Microsoft Standard Installer .msi fájljait és más érvényes és törvényes folyamatokat használja a rosszindulatú fájlok célrendszerre történő dobására.
Miután telepítették az áldozat rendszerére, a Raspberry Robin az msiexec paranccsal csatlakozik az infrastruktúrájához, és elküldi az áldozat eszközét és felhasználónevét. A féregszerű kártevő egy rosszindulatú DLL-t is telepít a feltört rendszerre.
Még mindig van néhány megválaszolatlan kérdés a Raspberry Robin körül. A kutatók nem tudják pontosan, hogyan terjed a féreg az általa hordozóként használt flash meghajtókra, és hogy ez offline módban történik-e. Az elejtett rosszindulatú DLL-fájl célja sem biztos, bár a kutatók azt gyanítják, hogy a gazdagépen a perzisztencia létrehozására használják.
A Raspberry Robin infrastruktúráját üzemeltető fenyegetés szereplőjének végcélja sem világos, mivel a kutatók nem tudták megvizsgálni és nyomon követni a kártevő tevékenységét a tevékenység későbbi szakaszaiban.
A féreg egy .lnk parancsikont helyez el a fertőzött pendrive-ra, amely úgy van kialakítva, mint egy normál mappa. A Raspberry Robin a Windows cmd.exe parancssori eszközét használta az USB flash meghajtón tárolt fájl végrehajtásához. A kártevő másik jellemző tulajdonsága, hogy a parancsok helyesírása során vegyesen nagy- és kisbetűket használ, esetleg további kísérletként az automatizált észlelés elől.
A rosszindulatú program az msiexec és a rundll32 parancsokat használja a rosszindulatú parancsok végrehajtására. Ezekkel indítható el, majd tovább konfigurálható a fent leírt rosszindulatú DLL-fájl.
