Malware Raspberry Robin
Dalla fine del 2021 è in circolazione una nuova minaccia dettagliata. Il malware ha capacità simili a worm e si chiama Raspberry Robin.
Raspberry Robin è classificato come malware wormable. Una minaccia wormable ha capacità che le consentono di diffondersi senza il controllo e l'intervento umano diretti.
La minaccia è stata esaminata e analizzata dai ricercatori della società di sicurezza Red Canary Intelligence. Raspberry Robin è stato individuato per la prima volta nell'autunno del 2021. Il malware utilizza unità di memoria flash USB per diffondere e infettare i computer basati su Windows. Raspberry Robin utilizza i file .msi di Microsoft Standard Installer e altri processi validi e legittimi per rilasciare file dannosi sul sistema di destinazione.
Una volta distribuito sul sistema vittima, Raspberry Robin utilizza il comando msiexec per connettersi alla propria infrastruttura, inviando il dispositivo vittima e il nome utente. Il malware simile a un worm installa anche una DLL dannosa sul sistema compromesso.
Ci sono ancora alcune domande senza risposta su Raspberry Robin. I ricercatori non sono sicuri di come esattamente il worm si propaghi nelle unità flash che utilizza come vettori e se ciò avvenga offline. Anche lo scopo del file DLL dannoso eliminato non è certo, anche se i ricercatori sospettano che venga utilizzato per stabilire la persistenza sul computer host.
Anche l'obiettivo finale dell'attore delle minacce che esegue l'infrastruttura di Raspberry Robin non è chiaro, poiché i ricercatori non sono stati in grado di esaminare e monitorare l'attività del malware nelle fasi successive della sua attività.
Il worm inserisce un collegamento .lnk sull'unità flash infetta, che è fatta per assomigliare a una normale cartella. Raspberry Robin ha utilizzato lo strumento da riga di comando di Windows cmd.exe per eseguire un file archiviato sull'unità flash USB. Un'altra caratteristica del malware è l'uso di lettere maiuscole e minuscole miste nell'ortografia dei suoi comandi, forse come ulteriore tentativo di eludere il rilevamento automatico.
Il malware utilizza msiexec e rundll32 per eseguire comandi dannosi. Questi vengono utilizzati per avviare e quindi configurare ulteriormente il file DLL dannoso descritto sopra.
