Un tipo relativamente nuevo de gusano de Windows, conocido como Raspberry Robin, se ha propagado de víctima a víctima por toda Europa, principalmente a través de dispositivos USB. Los analistas de inteligencia de Red Canary descubrieron inicialmente este gusano en septiembre de 2021 y advirtieron a los usuarios de Windows sobre la amenaza potencial para sus dispositivos.
Los dispositivos USB son el objetivo principal de Raspberry Robin
El principal vehículo de transferencia del gusano Raspberry Robin son los dispositivos USB. Un dispositivo infectado le mostrará a la víctima un archivo .LNK al insertarlo, que infecta el dispositivo a través del símbolo del sistema a través de la creación de un proceso msiexec (conocido como msiexec.exe). Un archivo BAT también está presente en los dispositivos infectados, que contiene dos comandos.
Raspberry Robin está explotando dos herramientas adicionales de Windows: fodhelper.exe y odbcconf.exe. Si bien ambos son archivos ejecutables, el primero se usa para administrar las funciones de Windows, mientras que el segundo se usa para la configuración de los controladores ODBC (Open Database Connectivity). Aprovechar estos tres archivos diferentes permite que Raspberry Robin sea menos detectable. Este malware también utiliza
Nodos de salida TOR para comunicarse con el resto de su ecosistema, lo que también lo hace más difícil de detectar.Los dispositivos NAS de QNAP también son un objetivo de Raspberry Robin
Los dispositivos QNAP NAS (almacenamiento conectado a la red) comprometidos también se explotan en el proceso de infección de Raspberry Robin, donde el atacante usa solicitudes HTTP que contienen los nombres de usuario y dispositivo de la víctima después de que el archivo .LNK es descargado El gusano utiliza una DLL maliciosa (Biblioteca de enlaces dinámicos) de un dispositivo QNAP comprometido para obtener acceso y control sobre el sistema. Los dispositivos QNAP han sido explotados por atacantes en el pasado por varias razones, particularmente infección de malware.
Todavía hay mucho más que aprender sobre Raspberry Robin
Raspberry Robin se dirige específicamente a los usuarios de Windows, y cientos de dispositivos ya se han visto afectados. Por el momento, todavía no se sabe cómo se propaga Raspberry Robin de una unidad USB a la siguiente, lo cual es una preocupación en términos de mitigación de infecciones. en una publicación en El Blog de Canarias Rojas, la compañía afirma que están lidiando con "varios vacíos de inteligencia" en torno a esta ola de ataques de Raspberry Robin, incluida la intención general de los operadores del malware.
Tenga cuidado al insertar unidades USB en su computadora
La dinámica y los objetivos de Raspberry Robin aún no se comprenden por completo, lo que nos dificulta determinar el verdadero propósito y el futuro de este malware. Por lo tanto, los usuarios de Windows deben estar atentos a las unidades USB que eligen insertar en cualquiera de sus dispositivos.
