Palyginti naujo tipo „Windows“ kirminas, žinomas kaip Raspberry Robin, plinta nuo aukos prie aukos visoje Europoje, daugiausia per USB įrenginius. „Red Canary“ žvalgybos analitikai iš pradžių aptiko šį kirminą 2021 m. rugsėjį ir perspėjo „Windows“ vartotojus apie galimą grėsmę jų įrenginiams.
USB įrenginiai yra pagrindinis Raspberry Robin tikslas
Pagrindinė „Raspberry Robin“ kirmino perdavimo priemonė yra USB įrenginiai. Įdėjus užkrėstą įrenginį, aukai bus rodomas .LNK failas, kuris užkrečia įrenginį per komandų eilutę, sukurdamas msiexec procesą (žinomą kaip msiexec.exe). BAT failas taip pat yra užkrėstuose įrenginiuose, kuriame yra dvi komandos.
„Raspberry Robin“ naudoja du papildomus „Windows“ įrankius: fodhelper.exe ir odbcconf.exe. Nors abu yra vykdomieji failai, pirmasis naudojamas „Windows“ funkcijoms valdyti, o antrasis naudojamas ODBC (atviros duomenų bazės ryšio) tvarkyklių konfigūravimui. Naudojant šiuos tris skirtingus failus, Raspberry Robin bus lengviau aptikti. Ši kenkėjiška programa taip pat naudoja
TOR išėjimo mazgai bendrauti su likusia ekosistema, todėl ją taip pat sunkiau pastebėti.QNAP NAS įrenginiai taip pat yra Raspberry Robin taikinys
Pažeisti QNAP NAS (Network Attached Storage) įrenginiai taip pat naudojami Raspberry Robin infekcijos procese, kai užpuolikas naudoja HTTP užklausas, kuriose yra aukos naudotojo ir įrenginių pavadinimai po .LNK failo atsisiųstas. Kirminas naudoja kenkėjišką DLL (Dynamic-Link Library) iš pažeisto QNAP įrenginio, kad galėtų pasiekti ir valdyti savo sistemą. QNAP įrenginiais užpuolikai naudojosi praeityje dėl įvairių priežasčių, ypač užsikrėtimo kenkėjiška programa.
Dar reikia daug sužinoti apie Raspberry Robin
„Raspberry Robin“ taikosi konkrečiai „Windows“ naudotojams, o šimtai įrenginių jau buvo paveikti. Šiuo metu vis dar nežinoma, kaip Raspberry Robin plinta iš vieno USB disko į kitą, o tai kelia susirūpinimą dėl infekcijos mažinimo. Įraše apie „Red Canary“ tinklaraštis, bendrovė teigia, kad susiduria su „keletu žvalgybos spragų“, susijusių su šia Raspberry Robin atakų banga, įskaitant bendrą kenkėjiškų programų operatorių ketinimą.
Būkite atsargūs įdėdami USB diskus į kompiuterį
Raspberry Robin dinamika ir tikslai vis dar nėra visiškai suprantami, todėl mums sunkiau nustatyti tikrąjį šios kenkėjiškos programos tikslą ir ateitį. Todėl „Windows“ vartotojai turi būti budrūs dėl USB diskų, kuriuos jie pasirenka įterpti į bet kurį savo įrenginį.