Visszatért a pendrive-okhoz a Raspberry Robin féreg

​A Raspberry Robin féreg készítői a pendrive-okon, illetve az egyéb cserélhető adathordozókon való vírusterjesztés mellett tették le a voksukat.
 

A zsarolóvírusok és az adatlopásra kiélezett kártékony programok korában a vírusterjesztési csatornák elsősorban a kártékony weboldalakra és az elektronikus levelezésre fókuszálnak, míg korábban egyebek mellet azon károkozók is nagy számban terjedtek, amik cserélhető adathordozókon (elsősorban pendrive-okon) keresztül ostromolták a számítógépeket. Noha a pendrive-os vírusterjesztés nem halt ki teljesen, azért mostanság nem ez a jellemző technika. Úgy tűnik, hogy a Raspberry Robin féreg készítői nem a legújabb divatot akarják követni.
 
A Red Canary biztonsági elemzői akadtak rá arra a Raspberry Robin nevű féregre, amelyről időközben kiderült, hogy már legalább 2021 szeptembere óta fertőz. A szakemberek eddig elsősorban technológiai és gyártással foglalkozó vállalatok körében tudták kimutatni a szerzeményt, amely a régimódisága ellenére nagyon elemében van, és tartogat meglepetéseket.
 
A Raspberry Robin a fertőzött pendrive-okról egy .LNK kiterjesztésű fájl segítségével jut fel a számítógépekre, és egy viszonylag komplex fertőzési láncot valósít meg.
 
Először a cmd.exe segítségével betölti a saját kártékony állományát, majd a Microsoft Standard Installer (msiexec.exe) használatával tölti le a további károkozásokhoz szükséges moduljait a vezérlőszerveréről. Érdekesség, hogy a féreg - vezérlőszerverek gyanánt - QNAP eszközökhöz kapcsolódik, miközben a TOR adta lehetőségeket is kihasználja a rejtőzködés érdekében. Amikor a moduljai (DLL-állományai) felkerülnek a kiszemelt PC-re, akkor további két legális Windows eszközt vet be. Egyrészt a fodhelper révén megpróbálja megkerülni az UAC (User Account Control) védelmet, másrészt az odbcconf segítségével végzi el a DLL-betöltést.
 
A féreg természetesen gondoskodik a perzisztens jelenlétéről, vagyis arról, hogy a Windows újraindítása után automatikusan el tudjon indul a háttérben.
 
Annak ellenére, hogy a Raspberry Robin első vizsgálatai lezárultak, még sok a nyitott kérdés. A biztonsági kutatók ugyanis még keresik a választ arra, hogy miért a cserélhető adathordozós módszert választották a féreg készítői, és hogy egyáltalán mi is a végső céljuk a szerzeményükkel. Könnyen elképzelhető, hogy elsősorban a Windows Installerrel való trükközést próbálják a saját javukra fordítani, és a feltűnés ilyen módon való kerülésével igyekeznek további kártékony kódokat terjeszteni.