Raspberry Robin Malware
Ett nyligen detaljerat hot har varit ute i naturen sedan slutet av 2021. Skadlig programvara har maskliknande egenskaper och kallas Raspberry Robin.
Raspberry Robin klassificeras som skadlig programvara som kan maskas. Ett avmaskningsbart hot har kapacitet som gör att det kan spridas utan direkt mänsklig kontroll och ingripande.
Hotet undersöktes och analyserades av forskare med säkerhetsföretaget Red Canary Intelligence. Raspberry Robin upptäcktes första gången hösten 2021. Skadlig programvara använder USB-minnen för att sprida och infektera Windows-baserade maskiner. Raspberry Robin använder Microsoft Standard Installer .msi-filer och andra giltiga och legitima processer för att släppa skadliga filer till målsystemet.
När det väl har installerats på offersystemet använder Raspberry Robin kommandot msiexec för att ansluta till dess infrastruktur och skicka ut offrets enhet och användarnamn. Den maskliknande skadliga programvaran installerar också en skadlig DLL på det komprometterade systemet.
Det finns fortfarande några obesvarade frågor kring Raspberry Robin. Forskare är inte säkra på hur exakt masken fortplantar sig in i de flashenheter som den använder som bärare och om detta sker offline. Syftet med den tappade skadliga DLL-filen är inte heller säker, även om forskare misstänker att den används för att etablera persistens på värddatorn.
Slutmålet för den hotaktör som driver Raspberry Robins infrastruktur är inte heller klart, eftersom forskare inte har kunnat undersöka och övervaka skadlig programvaras aktivitet i senare skeden av dess aktivitet.
Masken planterar en .lnk-genväg på den infekterade flashenheten, som är gjord för att se ut som en vanlig mapp. Raspberry Robin använde Windows kommandoradsverktyg cmd.exe för att köra en fil lagrad på USB-minnet. En annan karakteristisk egenskap hos skadlig programvara är användningen av blandade versaler och gemener i stavningen av dess kommandon, möjligen som ett ytterligare försök att undvika automatisk upptäckt.
Skadlig programvara använder msiexec och rundll32 för att utföra skadliga kommandon. De används för att starta och sedan konfigurera den skadliga DLL-filen som beskrivs ovan.
