Um tipo relativamente novo de worm do Windows, conhecido como Raspberry Robin, vem se espalhando de vítima para vítima em toda a Europa, principalmente por meio de dispositivos USB. Os analistas de inteligência da Red Canary descobriram esse worm inicialmente em setembro de 2021 e alertaram os usuários do Windows sobre sua potencial ameaça aos seus dispositivos.
Dispositivos USB são o principal alvo do Raspberry Robin
O principal veículo de transferência do worm Raspberry Robin são os dispositivos USB. Um dispositivo infectado mostrará à vítima um arquivo .LNK após a inserção, que infecta o dispositivo através do prompt de comando através da criação de um processo msiexec (conhecido como msiexec.exe). Um arquivo BAT também está presente em dispositivos infectados, que contém dois comandos.
Duas ferramentas adicionais do Windows estão sendo exploradas pelo Raspberry Robin: fodhelper.exe e odbcconf.exe. Embora ambos sejam arquivos executáveis, o primeiro é usado para gerenciar recursos do Windows, enquanto o último é usado para a configuração de drivers ODBC (Open Database Connectivity). Aproveitar esses três arquivos diferentes permite que o Raspberry Robin seja menos facilmente detectável. Este malware também usa
Nós de saída TOR para se comunicar com o resto de seu ecossistema, o que também o torna mais difícil de detectar.Dispositivos QNAP NAS também um alvo Raspberry Robin
Dispositivos comprometidos QNAP NAS (Network-Attached Storage) também são explorados no processo de infecção Raspberry Robin, em que o invasor usa solicitações HTTP que contêm os nomes de usuário e dispositivo da vítima após o arquivo .LNK ser baixado. O worm usa uma DLL maliciosa (Dynamic-Link Library) de um dispositivo QNAP comprometido para obter acesso e controle sobre o sistema. Dispositivos QNAP foram explorados por invasores no passado por várias razões, particularmente infecção por malware.
Ainda há muito mais para aprender sobre o Raspberry Robin
O Raspberry Robin visa especificamente os usuários do Windows e centenas de dispositivos já foram afetados. No momento, ainda não se sabe como o Raspberry Robin se espalha de uma unidade USB para outra, o que é uma preocupação em termos de mitigação de infecções. Em uma postagem em o blog do canário vermelho, a empresa afirma que está lidando com "várias lacunas de inteligência" em torno dessa onda de ataques Raspberry Robin, incluindo a intenção geral dos operadores do malware.
Tenha cuidado ao inserir unidades USB em seu computador
A dinâmica e os objetivos do Raspberry Robin ainda não são totalmente compreendidos, o que dificulta a determinação do verdadeiro propósito e futuro desse malware. Os usuários do Windows devem, portanto, estar atentos às unidades USB que escolhem inserir em qualquer um de seus dispositivos.
