Ένα σχετικά νέο είδος σκουληκιού των Windows, γνωστό ως Raspberry Robin, εξαπλώνεται από θύμα σε θύμα σε ολόκληρη την Ευρώπη, κυρίως μέσω συσκευών USB. Οι αναλυτές πληροφοριών Red Canary ανακάλυψαν αρχικά αυτό το σκουλήκι τον Σεπτέμβριο του 2021 και έχουν προειδοποιήσει τους χρήστες των Windows για την πιθανή απειλή του για τις συσκευές τους.
Οι συσκευές USB είναι ο κύριος στόχος του Raspberry Robin
Το κύριο όχημα μεταφοράς για το σκουλήκι Raspberry Robin είναι οι συσκευές USB. Μια μολυσμένη συσκευή θα εμφανίσει στο θύμα ένα αρχείο .LNK κατά την εισαγωγή, το οποίο μολύνει τη συσκευή μέσω της γραμμής εντολών μέσω της δημιουργίας μιας διεργασίας msiexec (γνωστή ως msiexec.exe). Ένα αρχείο BAT υπάρχει επίσης σε μολυσμένες συσκευές, το οποίο περιέχει δύο εντολές.
Δύο πρόσθετα εργαλεία των Windows αξιοποιούνται από το Raspberry Robin: fodhelper.exe και odbcconf.exe. Ενώ και τα δύο είναι εκτελέσιμα αρχεία, το πρώτο χρησιμοποιείται για τη διαχείριση των δυνατοτήτων των Windows, ενώ το δεύτερο χρησιμοποιείται για τη διαμόρφωση των προγραμμάτων οδήγησης ODBC (Open Database Connectivity). Η αξιοποίηση αυτών των τριών διαφορετικών αρχείων επιτρέπει στο Raspberry Robin να είναι λιγότερο εύκολα ανιχνεύσιμο. Αυτό το κακόβουλο λογισμικό χρησιμοποιεί επίσης
Κόμβοι εξόδου TOR να επικοινωνήσει με το υπόλοιπο οικοσύστημά του, γεγονός που καθιστά επίσης πιο δύσκολο τον εντοπισμό του.Συσκευές QNAP NAS Επίσης ένας στόχος Raspberry Robin
Οι παραβιασμένες συσκευές QNAP NAS (Network- Attached Storage) αξιοποιούνται επίσης στη διαδικασία μόλυνσης Raspberry Robin, όπου ο εισβολέας χρησιμοποιεί αιτήματα HTTP που περιέχουν τα ονόματα χρήστη και συσκευών του θύματος μετά το αρχείο .LNK κατεβάσει. Ο ιός τύπου worm χρησιμοποιεί ένα κακόβουλο DLL (Βιβλιοθήκη Dynamic-Link) από μια παραβιασμένη συσκευή QNAP για να αποκτήσει πρόσβαση και να ελέγξει το σύστημά του. Οι συσκευές QNAP έχουν γίνει αντικείμενο εκμετάλλευσης από εισβολείς στο παρελθόν για διάφορους λόγους, ιδιαίτερα μόλυνση από κακόβουλο λογισμικό.
Υπάρχουν ακόμα πολλά περισσότερα για να μάθετε για το Raspberry Robin
Το Raspberry Robin στοχεύει συγκεκριμένα τους χρήστες των Windows και εκατοντάδες συσκευές έχουν ήδη επηρεαστεί. Προς το παρόν, δεν είναι ακόμη γνωστό πώς το Raspberry Robin εξαπλώνεται από τη μια μονάδα USB στην άλλη, κάτι που προκαλεί ανησυχία όσον αφορά τον μετριασμό της μόλυνσης. Σε ανάρτηση στο το Red Canary Blog, η εταιρεία ισχυρίζεται ότι αντιμετωπίζουν «αρκετά κενά πληροφοριών» γύρω από αυτό το κύμα επιθέσεων Raspberry Robin, συμπεριλαμβανομένης της συνολικής πρόθεσης των χειριστών του κακόβουλου λογισμικού.
Να είστε προσεκτικοί όταν τοποθετείτε μονάδες USB στον υπολογιστή σας
Η δυναμική και οι στόχοι του Raspberry Robin δεν είναι ακόμα πλήρως κατανοητοί, γεγονός που καθιστά πιο δύσκολο για εμάς να προσδιορίσουμε τον πραγματικό σκοπό και το μέλλον αυτού του κακόβουλου λογισμικού. Οι χρήστες των Windows πρέπει επομένως να είναι προσεκτικοί σχετικά με τις μονάδες USB που επιλέγουν να εισάγουν σε οποιαδήποτε από τις συσκευές τους.
