覆盆子罗宾恶意软件

自 2021 年底以来，一种新的详细威胁已经出现。该恶意软件具有类似蠕虫的功能，称为 Raspberry Robin。

Raspberry Robin 被归类为可蠕虫恶意软件。可蠕虫威胁具有允许其在没有直接人类控制和干预的情况下传播的能力。

安全公司 Red Canary Intelligence 的研究人员对该威胁进行了检查和分析。 Raspberry Robin 于 2021 年秋季首次被发现。该恶意软件使用 USB 闪存驱动器传播和感染基于 Windows 的计算机。 Raspberry Robin 使用 Microsoft 标准安装程序 .msi 文件和其他有效和合法的进程将恶意文件放到目标系统上。

在受害系统上部署后，Raspberry Robin 使用 msiexec 命令连接到其基础设施，发送受害设备和用户名。类似蠕虫的恶意软件还会在受感染的系统上安装恶意 DLL。

围绕 Raspberry Robin 仍有一些悬而未决的问题。研究人员不确定蠕虫究竟是如何传播到它用作载体的闪存驱动器中的，以及这种情况是否离线发生。被丢弃的恶意 DLL 文件的目的也不确定，尽管研究人员怀疑它用于在主机上建立持久性。

运行 Raspberry Robin 基础设施的威胁行为者的最终目标也不清楚，因为研究人员无法在恶意软件活动的后期阶段检查和监控恶意软件的活动。

该蠕虫在受感染的闪存驱动器上植入一个 .lnk 快捷方式，使其看起来像一个普通文件夹。 Raspberry Robin 使用 Windows 命令行工具 cmd.exe 执行存储在 USB 闪存驱动器上的文件。该恶意软件的另一个特征是在其命令的拼写中使用混合的大小写字母，可能是为了进一步躲避自动检测。

该恶意软件使用 msiexec 和 rundll32 执行恶意命令。这些用于启动然后进一步配置上述恶意 DLL 文件。