Дослідники попереджають про небезпечний хробак Raspberry Robin, націлений на користувачів Windows

Користувачам Windows слід пам’ятати, що хробак Raspberry Robin поширюється через USB-пристрої.

Відносно новий вид хробака Windows, відомий як Raspberry Robin, поширюється від жертви до жертви по всій Європі, головним чином через USB-пристрої. Аналітики розвідки Red Canary спочатку виявили цього хробака у вересні 2021 року та попередили користувачів Windows про його потенційну загрозу для їхніх пристроїв.

USB-пристрої є основною метою Raspberry Robin

Основним засобом передачі хробака Raspberry Robin є USB-пристрої. Заражений пристрій покаже жертві файл .LNK після вставки, який заражає пристрій через командний рядок через створення процесу msiexec (відомого як msiexec.exe). В заражених пристроях також присутній BAT-файл, який містить дві команди.

Raspberry Robin використовує два додаткових інструменти Windows: fodhelper.exe та odbcconf.exe. Хоча обидва є виконуваними файлами, перший використовується для керування функціями Windows, тоді як другий використовується для конфігурації драйверів ODBC (Open Database Connectivity). Використання цих трьох різних файлів дає змогу менш легко виявити Raspberry Robin. Ця шкідлива програма також використовує вузли виходу TOR для зв’язку з рештою своєї екосистеми, що також ускладнює її виявлення.

Пристрої QNAP NAS також ціль Raspberry Robin

Скомпрометовані пристрої QNAP NAS (Network-Attached Storage) також використовуються в процесі зараження Raspberry Robin, коли зловмисник використовує HTTP-запити, які містять імена користувача та пристрою жертви після завантаження файлу .LNK. Хробак використовує шкідливу бібліотеку DLL (Dynamic-Link Library) зі зламаного пристрою QNAP, щоб отримати доступ до системи та контролювати її. Пристрої QNAP використовувалися зловмисниками в минулому з різних причин, зокрема зараження шкідливим програмним забезпеченням.

Ще багато чого потрібно дізнатися про Raspberry Robin

Raspberry Robin спеціально націлений на користувачів Windows, і вже постраждали сотні пристроїв. На даний момент досі невідомо, як Raspberry Robin поширюється з одного USB-накопичувача на інший, що викликає занепокоєння з точки зору пом’якшення інфекції. У публікації в блозі Red Canary компанія стверджує, що має справу з «декількома прогалинами в розвідці» навколо цієї хвилі атак Raspberry Robin, включаючи загальні наміри операторів шкідливого програмного забезпечення.

Будьте обережні, вставляючи USB-накопичувачі в комп’ютер

Динаміка та цілі Raspberry Robin досі не зовсім зрозумілі, тому нам важче визначити справжню мету та майбутнє цього зловмисного програмного забезпечення. Тому користувачі Windows повинні бути пильними щодо USB-накопичувачів, які вони вирішили вставити в будь-який зі своїх пристроїв.