Eine relativ neue Art von Windows-Wurm, bekannt als Raspberry Robin, verbreitet sich von Opfer zu Opfer in ganz Europa, hauptsächlich über USB-Geräte. Geheimdienstanalysten von Red Canary entdeckten diesen Wurm erstmals im September 2021 und haben Windows-Benutzer vor seiner potenziellen Bedrohung für ihre Geräte gewarnt.
USB-Geräte sind das Hauptziel von Raspberry Robin
Das Hauptübertragungsmittel für den Raspberry-Robin-Wurm sind USB-Geräte. Ein infiziertes Gerät zeigt dem Opfer beim Einfügen eine .LNK-Datei, die das Gerät über die Eingabeaufforderung über die Erstellung eines msiexec-Prozesses (bekannt als msiexec.exe) infiziert. Auf infizierten Geräten ist auch eine BAT-Datei vorhanden, die zwei Befehle enthält.
Zwei weitere Windows-Tools werden von Raspberry Robin ausgenutzt: fodhelper.exe und odbcconf.exe. Während es sich bei beiden um ausführbare Dateien handelt, wird erstere zur Verwaltung von Windows-Funktionen verwendet, während letztere zur Konfiguration von ODBC-Treibern (Open Database Connectivity) verwendet wird. Durch die Nutzung dieser drei verschiedenen Dateien ist Raspberry Robin weniger leicht zu erkennen. Diese Malware verwendet auch
TOR-Ausgangsknoten um mit dem Rest seines Ökosystems zu kommunizieren, was es auch schwieriger macht, es zu erkennen.QNAP-NAS-Geräte sind auch ein Raspberry Robin-Ziel
Kompromittierte QNAP NAS (Network-Attached Storage)-Geräte werden auch im Raspberry Robin-Infektionsprozess ausgenutzt. wobei der Angreifer HTTP-Anfragen verwendet, die die Benutzer- und Gerätenamen des Opfers nach der .LNK-Datei enthalten heruntergeladen. Der Wurm verwendet eine bösartige DLL (Dynamic-Link Library) von einem kompromittierten QNAP-Gerät, um Zugriff auf und Kontrolle über das eigene System zu erlangen. QNAP-Geräte wurden in der Vergangenheit von Angreifern ausgenutzt aus verschiedenen Gründen, insbesondere Malware-Infektion.
Es gibt noch viel mehr über Raspberry Robin zu lernen
Raspberry Robin zielt speziell auf Windows-Benutzer ab, und Hunderte von Geräten sind bereits betroffen. Im Moment ist noch nicht bekannt, wie sich Raspberry Robin von einem USB-Laufwerk zum nächsten verbreitet, was im Hinblick auf die Infektionsminderung bedenklich ist. In einem Beitrag auf der Red Canary-Blog, behauptet das Unternehmen, dass es sich um „mehrere Geheimdienstlücken“ rund um diese Welle von Raspberry-Robin-Angriffen handelt, einschließlich der allgemeinen Absicht der Betreiber der Malware.
Seien Sie vorsichtig, wenn Sie USB-Laufwerke in Ihren Computer einstecken
Die Dynamik und Ziele von Raspberry Robin sind immer noch nicht vollständig verstanden, was es für uns schwieriger macht, den wahren Zweck und die Zukunft dieser Malware zu bestimmen. Windows-Benutzer müssen daher wachsam in Bezug auf die USB-Laufwerke sein, die sie in eines ihrer Geräte einstecken.