סוג חדש יחסית של תולעת Windows, המכונה Raspberry Robin, התפשט מקורבן לקורבן ברחבי אירופה, בעיקר באמצעות התקני USB. אנליסטים של מודיעין Red Canary גילו תחילה את התולעת הזו בספטמבר 2021, והזהירו את משתמשי Windows מהאיום הפוטנציאלי שלה על המכשירים שלהם.
התקני USB הם היעד העיקרי של Raspberry Robin
כלי ההעברה העיקרי של תולעת Raspberry Robin הוא התקני USB. מכשיר נגוע יראה לקורבן קובץ .LNK עם ההכנסה, אשר מדביק את המכשיר באמצעות שורת הפקודה באמצעות יצירת תהליך msiexec (המכונה msiexec.exe). קובץ BAT קיים גם במכשירים נגועים, המכיל שתי פקודות.
שני כלי Windows נוספים מנוצלים על ידי Raspberry Robin: fodhelper.exe ו-odbcconf.exe. בעוד ששניהם קבצי הפעלה, הראשון משמש לניהול תכונות של Windows, בעוד שהאחרון משמש לתצורה של מנהלי התקנים של ODBC (Open Database Connectivity). מינוף שלושת הקבצים השונים הללו מאפשר ל-Raspberry Robin להיות פחות קל לזיהוי. תוכנה זדונית זו משתמשת גם צמתי יציאה TOR לתקשר עם שאר המערכת האקולוגית שלו, מה שגם הופך אותו לקשה יותר לזהות.
מכשירי NAS של QNAP גם מטרת פטל רובין
התקני QNAP NAS (Network Attached Storage) שנפגעו מנוצלים גם בתהליך ההדבקה של Raspberry Robin, שבו התוקף משתמש בבקשות HTTP המכילות את שמות המשתמש והמכשירים של הקורבן לאחר שקובץ ה-.LNK הוא הורד. התולעת משתמשת ב-DLL זדוני (ספריית קישורים דינמית) ממכשיר QNAP שנפגע כדי לקבל גישה ושליטה על המערכת של האדם.
מכשירי QNAP נוצלו על ידי תוקפים בעבר מסיבות שונות, במיוחד הדבקה בתוכנה זדונית.יש עוד הרבה מה ללמוד על Raspberry Robin
Raspberry Robin מכוון במיוחד למשתמשי Windows, ומאות מכשירים כבר הושפעו. נכון לעכשיו, עדיין לא ידוע כיצד Raspberry Robin מתפשט מכונן USB אחד למשנהו, מה שמעורר דאגה במונחים של הפחתת זיהום. בפוסט על הבלוג הקנרית האדומה, החברה טוענת שהם מתמודדים עם "מספר פערי מודיעין" סביב גל התקפות פטל רובין הזה, כולל הכוונה הכוללת של מפעילי התוכנה הזדונית.
היזהר בעת הכנסת כונני USB למחשב שלך
הדינמיקה והיעדים של Raspberry Robin עדיין לא מובנים לחלוטין, מה שמקשה עלינו לקבוע את המטרה והעתיד האמיתיים של תוכנה זדונית זו. לכן משתמשי Windows חייבים להיות ערניים לגבי כונני ה-USB שהם בוחרים להכניס לכל אחד מהמכשירים שלהם.
