Lampone Robin

Un malware con funzionalità simili a worm viene utilizzato nelle campagne di attacco che interessano i sistemi Windows. La minaccia e il relativo cluster di attività sono stati tracciati come Raspberry Robin e "QNAP worm" dai ricercatori della sicurezza informatica. Secondo i loro rapporti, l'operazione Raspberry Robin è stata notata nel settembre 2021, ma la maggior parte dell'attività si è svolta a gennaio 2022 e dopo. Le vittime della minaccia sono state identificate come aziende operanti nei settori tecnologico e manifatturiero, ma potrebbero potenzialmente essere anche altri. Va notato che, finora, gli obiettivi degli attori della minaccia non sono stati confermati.

Sfruttare gli strumenti di Windows legittimi

La catena di infezione del Raspberry Robin inizia con le unità rimovibili infette come i dispositivi USB. Queste unità contengono il worm Raspberry Robin sotto forma di un file .lnk di collegamento, mascherato da cartella legittima. La minaccia si attiva dopo che l'unità danneggiata è stata collegata al computer. Sfrutta cmd.exe per leggere e quindi eseguire un file trovato sull'unità esterna infetta. I ricercatori hanno scoperto che questo comando è coerente tra diversi rilevamenti di Raspberry Robin e può essere utilizzato come indicatore delle attività minacciose svolte dal worm.

Come parte delle sue azioni, il malware sfrutta ampiamente le utilità di Windows legittime. Sfrutta msiexec.exe (programma di installazione standard di Microsoft) per recuperare ed eseguire un file DLL compromesso, insieme ad altri pacchetti di installazione legittimi. Si ritiene che il file DLL abbia funzionalità relative alla persistenza e sia preso da un dominio Command-and-Control (C2, C&C) danneggiato, probabilmente ospitato su dispositivi QNAP compromessi. L'attività C2 in uscita attribuita a Raspberry Robin è stata osservata anche utilizzando i processi di Windows regsvr32.exe, rundll32.exe e dllhost.exe. I tentativi di connessione alla rete esterna erano rivolti a indirizzi IP su nodi TOR.

Il Raspberry Robin costringe anche msiexec.exe a lanciare un'altra vera utility di Windows: fodhelper.exe. La minaccia si basa su di essa per generare rundll32.exe e avviare un comando minaccioso. L'attore delle minacce ha scelto fodhelper.exe per la sua capacità di avviare processi con privilegi di amministratore elevati, senza attivare un prompt UAC (User Account Control).