Microsoft ha scoperto che Raspberry Robin è parte di un complesso e interconnesso ecosistema malware. Il worm viene sfruttato da vari cybercriminali per distribuire altri tipi di infezioni, tra cui IcedID, Bumblebee, Truebot, Clop e LockBit. Defender Antivirus e altre soluzioni di sicurezza possono rilevate e bloccare queste minacce.
Tutto inizia con un drive USB
Rasperry Robin, individuato dai ricercatori di Red Canary, viene distribuito tramite dispositivi USB. Il drive contiene un file LNK che viene avviato automaticamente all’inserimento oppure dall’utente. Il file esegue cmd.exe
che lancia il servizio msiexec.exe
. L’installer scarica quindi il payload da un NAS QNAP compromesso.
Il malware viene successivamente iniettato in vari processi di sistema ed effettua la connessione ai server C2 (command-and-control) ospitati su nodi Tor. Raspberry Robin aggiunge inoltre una chiave nel registro di Windows per la persistenza, ovvero l’esecuzione automatica all’avvio del computer.
Il worm viene sfruttato anche per distribuire la backboor FakeUpdates e i trojan bancario Dridex. La catena di infezione è piuttosto complessa in quanto il malware viene utilizzato da vari gruppi di cybercriminali per diverse attività. Raspberry Robin è stato recentemente usato come vettore di ingresso iniziale per gli attacchi effettuati con i ransomware LockBit e Clop.
Fortunatamente Raspberry Robin e le sue attività vengono rilevate da Defender Antivirus e altre soluzioni di sicurezza. Gli utenti devono quindi installarle se vogliono evitare l’accesso al computer, il furto di dati e altri pericoli.