محققان بدافزار جدیدی پیدا کردهاند که به دستگاههایی با سیستم عامل ویندوز حمله میکند، اما هنوز مطمئن نیستند که چرا دقیقاً این کار را انجام میدهد. محققان امنیت سایبری از Red Canary اخیراً بدافزار worm مانند جدیدی را کشف کردهاند که به صورت آفلاین از طریق درایوهای USB آلوده منتشر می شود. هیچ اسمی از این بدافزار خاص به میان نیامده است، بلکه آن را به “خوشه ای از فعالیتهای مخرب” مرتبط کردند که آنها را Raspberry Robin نامیدند.
Raspberry Robin
این بدافزار در نقاط پایانی مختلف در شبکههای متعدد متعلق به سازمانهای فناوری و صنایع تولیدی یافت شد. پس از تجزیه و تحلیل یک درایو USB آلوده، محققان دریافتند که این worm از طریق یک فایل مخرب با فرمت LNK از طریق اتصال به دستگاههای جدید سرایت میکند. هنگامی که درایو USB وصل میشود، worm فرآیند جدیدی را از طریق cmd.exe راهاندازی کرده و فایل را اجرا میکند. به گفته محققان، برای دسترسی به سرور C2، این worm از Microsoft Standard Installer (msiexec.exe) استفاده میکند. آنها حدس میزنند که سرور بر روی یک دستگاه QNAP در معرض خطر- با گرههای خروجی TOR که به عنوان زیرساخت اضافی C2 استفاده میشود- میزبانی میشود. در این گزارش آمده است در حالی که msiexec.exe بستههای نصب کننده قانونی را دانلود و اجرا میکند، هکرها نیز از آن برای ارائه بدافزار استفاده میکنند. Raspberry Robin از msiexec.exe برای برقراری ارتباط شبکه خارجی با یک دامنه مخرب برای اهداف C2 استفاده میکند.