Компания Microsoft предупредила пользователей Windows о новой уязвимости. Червь Raspberry Robin «расползается», используя USB-устройства.
Относительно новый вид червя для Windows, известный как Raspberry Robin, распространяется от жертвы к жертве по всей Европе, в основном через USB-устройства. Аналитики из Red Canary первоначально обнаружили этого червя в сентябре 2021 года и предупредили Microsoft и пользователей Windows о его потенциальной угрозе.
USB-устройства являются основной целью Raspberry Robin
Основным средством передачи для червя Raspberry Robin являются USB-устройства. Вирусный файл .LNK при вставке устройства в USB-порт заражает его через командную строку путем создания процесса msiexec. В зараженных устройствах также присутствует BAT-файл, который содержит две команды.
Raspberry Robin использует два дополнительных инструмента Windows: fodhelper.exe и odbcconf.exe. Хотя оба являются исполняемыми файлами, первый используется для управления функциями Windows, а второй используется для настройки драйверов ODBC (Open Database Connectivity). Использование этих трех различных файлов позволяет Raspberry Robin лучше «шифроваться» в системе, прячась от антивирусных программ. Эта вредоносная программа также использует выходные узлы TOR для связи с остальной частью своей экосистемы, что также затрудняет ее обнаружение.
Устройства QNAP NAS ещё одна мишень Raspberry Robin
Скомпрометированные устройства QNAP NAS (Network-Attached Storage) также используются в процессе заражения Raspberry Robin, в котором злоумышленник использует HTTP-запросы, содержащие имена пользователей и устройств жертвы. После того, как вредоносный файл .LNK загружен, червь использует вредоносную библиотеку DLL (Dynamic-Link Library) скомпрометированного устройства QNAP для получения доступа к системе и контроля над ней.
Загадочный Робин
Raspberry Robin нацелен конкретно на пользователей Windows. В настоящий момент от него уже пострадали тысячи устройств по всему миру. Специалисты в области кибербезопасности пока не могут выяснить, как Raspberry Robin распространяется с одного USB-накопителя на другой. Некоторую долю успокоения вносит аспект физической доставки червя на устройства.
На сегодняшний день мы заметили Raspberry Robin в организациях, связанных с технологиями и производством, хотя пока неясно, есть ли другие связи среди жертв. Мы пока не можем выяснить досконально способы распространения червя, а также цели уго операторов.
Хотя у нас еще нет полной картины, мы хотим обратить внимание сообщества на серьезность этой компании.
Мы используем имя кластера "Raspberry Robin" для обозначения всей цепочки действий, описанных ниже, включая метод начального доступа, самого червя, а также последующее выполнение и активность C2.
— блог Red Canary
Будьте осторожны при вставке USB-накопителей в компьютер
Динамика и цели Raspberry Robin до сих пор не полностью поняты, что затрудняет специалистам определение истинной цели и будущего этого вредоносного ПО. Поэтому пользователи Windows должны быть бдительны и с осторожностью вставлять в любое USB-устройство в свой ПК.
Настройте свои антивирусные приложения для проверки USB-устройств, подключаемых к компьютеру. В Защитнике WIndows включите Защиту в реальном времени, Облачную защиту и Автоматическую отправку образцов. В Параметрах отключите автозапуск всех носителей и устройств.