Razmeroma nova vrsta črva Windows, znana kot Raspberry Robin, se širi od žrtve do žrtve po Evropi, predvsem prek naprav USB. Obveščevalni analitiki podjetja Red Canary so tega črva najprej odkrili septembra 2021 in uporabnike sistema Windows opozorili na morebitno grožnjo njihovim napravam.

Naprave USB so glavna tarča Raspberry Robin

Glavno sredstvo za prenos črva Raspberry Robin so naprave USB. Okužena naprava bo žrtvi po vstavitvi pokazala datoteko .LNK, ki okuži napravo prek ukaznega poziva z ustvarjanjem procesa msiexec (znanega kot msiexec.exe). V okuženih napravah je prisotna tudi datoteka BAT, ki vsebuje dva ukaza.

Raspberry Robin izkorišča dve dodatni orodji Windows: fodhelper.exe in odbcconf.exe. Medtem ko sta obe izvršljivi datoteki, se prva uporablja za upravljanje funkcij sistema Windows, medtem ko se druga uporablja za konfiguracijo gonilnikov ODBC (Open Database Connectivity). Izkoriščanje teh treh različnih datotek omogoča, da je Raspberry Robin težje zaznati. Ta zlonamerna programska oprema uporablja tudi

Izhodna vozlišča TOR komunicirati s preostalim ekosistemom, zaradi česar ga je tudi težje opaziti.

Naprave QNAP NAS tudi tarča Raspberry Robin

Ogrožene naprave QNAP NAS (Network-Attached Storage) se izkoriščajo tudi v procesu okužbe z Raspberry Robin, pri čemer napadalec uporablja zahteve HTTP, ki vsebujejo imena uporabnikov in naprav žrtve po datoteki .LNK preneseno. Črv uporablja zlonamerno DLL (Dynamic-Link Library) iz ogrožene naprave QNAP, da pridobi dostop in nadzor nad lastnim sistemom. Napadalci so v preteklosti že izkoriščali naprave QNAP zaradi različnih razlogov, zlasti zaradi okužbe z zlonamerno programsko opremo.

Še veliko več je treba izvedeti o Raspberry Robinu

Raspberry Robin cilja posebej na uporabnike sistema Windows in prizadetih je že na stotine naprav. Trenutno še vedno ni znano, kako se Raspberry Robin širi z enega pogona USB na drugega, kar je zaskrbljujoče v smislu ublažitve okužbe. V objavi na blog Red Canary, podjetje trdi, da se ukvarjajo z "več obveščevalnimi vrzelmi" okoli tega vala napadov Raspberry Robin, vključno s splošno namero operaterjev zlonamerne programske opreme.

Bodite previdni pri vstavljanju pogonov USB v računalnik

Dinamika in cilji Raspberry Robin še vedno niso popolnoma razumljeni, zaradi česar je težje določiti pravi namen in prihodnost te zlonamerne programske opreme. Uporabniki operacijskega sistema Windows morajo biti zato pozorni na pogone USB, ki jih želijo vstaviti v katero koli od svojih naprav.