Malinowy Robin Malware
Nowe, szczegółowe zagrożenie pojawiło się na wolności od końca 2021 r. Szkodnik ten ma właściwości robaka i nazywa się Raspberry Robin.
Raspberry Robin jest klasyfikowany jako złośliwe oprogramowanie do robaków. Zagrożenie, które można odrobaczyć, ma możliwości, które pozwalają mu rozprzestrzeniać się bez bezpośredniej kontroli i interwencji człowieka.
Zagrożenie zostało zbadane i przeanalizowane przez badaczy z firmy zajmującej się bezpieczeństwem Red Canary Intelligence. Raspberry Robin został po raz pierwszy zauważony jesienią 2021 roku. Szkodnik ten wykorzystuje pamięci flash USB do rozprzestrzeniania się i infekowania komputerów z systemem Windows. Raspberry Robin używa plików Microsoft Standard Installer .msi oraz innych prawidłowych i legalnych procesów, aby upuścić złośliwe pliki na docelowy system.
Po wdrożeniu w systemie ofiary, Raspberry Robin wykorzystuje polecenie msiexec do łączenia się ze swoją infrastrukturą, wysyłając urządzenie ofiary i nazwę użytkownika. Szkodnik podobny do robaka instaluje również złośliwą bibliotekę DLL na zaatakowanym systemie.
Wciąż pozostaje kilka pytań dotyczących Raspberry Robina. Badacze nie są pewni, w jaki sposób robak rozprzestrzenia się na pamięciach flash, których używa jako nośników i czy dzieje się to w trybie offline. Cel upuszczonego szkodliwego pliku DLL również nie jest pewny, mimo że badacze podejrzewają, że jest on używany do ustalenia trwałości na maszynie hosta.
Ostateczny cel cyberprzestępcy zarządzającego infrastrukturą Raspberry Robina również nie jest jasny, ponieważ badacze nie byli w stanie zbadać i monitorować aktywności szkodliwego oprogramowania na późniejszych etapach jego aktywności.
Robak umieszcza na zainfekowanym dysku flash skrót .lnk, który wygląda jak normalny folder. Raspberry Robin użył narzędzia wiersza poleceń systemu Windows cmd.exe do wykonania pliku zapisanego na dysku flash USB. Inną charakterystyczną cechą tego szkodliwego oprogramowania jest używanie w pisowni poleceń mieszanych wielkich i małych liter, prawdopodobnie jako dalsza próba uniknięcia automatycznego wykrycia.
Malware wykorzystuje msiexec i rundll32 do wykonywania złośliwych poleceń. Służą one do uruchomienia, a następnie dalszej konfiguracji opisanego powyżej szkodliwego pliku DLL.
