Raspberry Robin kenkėjiška programa
Naujai išsami grėsmė gamtoje pasirodė nuo 2021 m. pabaigos. Kenkėjiška programa yra panaši į kirminą ir vadinama Raspberry Robin.
„Raspberry Robin“ yra klasifikuojama kaip kenkėjiška programa, leidžianti kirmėti. Pavojinga grėsmė turi savybių, leidžiančių jai plisti be tiesioginės žmogaus kontrolės ir įsikišimo.
Grėsmę ištyrė ir išanalizavo saugumo įmonės „Red Canary Intelligence“ mokslininkai. „Raspberry Robin“ pirmą kartą buvo pastebėtas 2021 m. rudenį. Kenkėjiška programa naudoja USB atmintinę, kad platintų ir užkrėstų „Windows“ pagrindu veikiančius įrenginius. Raspberry Robin naudoja Microsoft Standard Installer .msi failus ir kitus galiojančius bei teisėtus procesus, kad numestų kenkėjiškus failus į tikslinę sistemą.
Įdiegta nukentėjusioje sistemoje, Raspberry Robin naudoja komandą msiexec, kad prisijungtų prie savo infrastruktūros ir išsiųstų nukentėjusiojo įrenginį ir vartotojo vardą. Į kirminą panaši kenkėjiška programa taip pat įdiegia kenkėjišką DLL pažeistoje sistemoje.
Vis dar yra keletas neatsakytų klausimų, susijusių su Raspberry Robin. Tyrėjai nežino, kaip tiksliai kirminas plinta į „flash drives“, kuriuos jis naudoja kaip nešiklius, ir ar tai vyksta neprisijungus. Išmesto kenkėjiško DLL failo tikslas taip pat nėra tikras, nors mokslininkai įtaria, kad jis naudojamas pagrindinio kompiuterio patvarumui nustatyti.
Galutinis grėsmės veikėjo, valdančio Raspberry Robin infrastruktūrą, tikslas taip pat nėra aiškus, nes mokslininkams nepavyko ištirti ir stebėti kenkėjiškos programos veiklos vėlesniuose jos veiklos etapuose.
Kirminas užkrėstame „flash“ diske įdeda .lnk nuorodą, kuri atrodo kaip įprastas aplankas. Raspberry Robin naudojo Windows komandų eilutės įrankį cmd.exe, kad paleistų USB atmintinėje saugomą failą. Kitas būdingas kenkėjiškos programos bruožas yra mišrių didžiųjų ir mažųjų raidžių naudojimas rašant komandas, galbūt kaip tolesnis bandymas išvengti automatinio aptikimo.
Kenkėjiška programa kenkėjiškoms komandoms vykdyti naudoja msiexec ir rundll32. Jie naudojami paleisti ir toliau konfigūruoti anksčiau aprašytą kenkėjišką DLL failą.
