Raspberry Robin

Um malware com recursos semelhantes aos de um  worms está sendo usado em campanhas de ataque que afetam sistemas Windows. A ameaça e seu grupo de atividade associado foram rastreados como o Raspberry Robin e 'worm QNAP' pelos pesquisadores de segurança cibernética. De acordo com seus relatórios, a operação do Raspberry Robin foi notada em setembro de 2021, mas a maior parte da atividade ocorreu em e após janeiro de 2022. As vítimas da ameaça foram identificadas como empresas que operam nos setores de tecnologia e manufatura, mas poderia sejam outros também. Deve-se notar que, até agora, os objetivos dos atores da ameaça não foram confirmados.

Explorando Ferramentas Legítimas do Windows

A cadeia de infecção do Raspberry Robin começa com unidades removíveis sendo infectadas, tais como dispositivos USB. Essas unidades contêm o worm Raspberry Robin na forma de um arquivo .lnk de atalho, disfarçado como uma pasta legítima. A ameaça é ativada depois que a unidade corrompida é conectada ao computador. Ele aproveita o cmd.exe para ler e executar um arquivo encontrado na unidade externa infectada. Os pesquisadores descobriram que esse comando é consistente entre diferentes detecções do Raspberry Robin e pode ser usado como um indicador das atividades ameaçadoras realizadas pelo worm.

Como parte de suas ações, o malware aproveita amplamente os utilitários legítimos do Windows. Ele explora o msiexec.exe (Microsoft Standard Installer) para buscar e executar um arquivo DLL comprometido, juntamente com outros pacotes de instalação legítimos. Acredita-se que o arquivo DLL tenha funcionalidade relacionada à persistência e seja obtido de um domínio de Comando e Controle (C2, C&C) corrompido, provavelmente hospedado em dispositivos QNAP comprometidos. A atividade C2 de saída atribuída ao Raspberry Robin também foi observada usando os processos do Windows regsvr32.exe, rundll32.exe e dllhost.exe. As tentativas de conexão de rede externa foram direcionadas a endereços de IP nos nodes do TOR.

O Raspberry Robin também força o msiexec.exe a lançar outro utilitário real do Windows - fodhelper.exe. A ameaça depende dele para gerar rundll32.exe e iniciar um comando ameaçador. O agente da ameaça escolheu o fodhelper.exe devido à sua capacidade de iniciar processos com privilégios de administrador elevados, sem acionar um prompt de Controle de Conta de Usuário (UAC).