image

Avast detecteert usb-worm Raspberry Robin bij 550.000 gebruikers

donderdag 22 september 2022, 15:08 door Redactie, 2 reacties

Antivirusbedrijf Avast heeft dit jaar de Raspberry Robin usb-worm al bij 550.000 gebruikers gedetecteerd en geblokkeerd, wat aantoont dat dergelijke malware nog altijd zeer actief is. Toch zijn er nog veel vragen over de malware, zoals het uiteindelijke doel, wie erachter zit en hoe Raspberry Robin wijdverbreid raakte. Avast detecteerde de usb-worm wereldwijd.

Raspberry Robin maakt gebruik van lnk-bestanden op usb-sticks om zich te verspreiden. Deze lnk-bestanden doen zich voor als een legitieme map op de besmette usb-stick. In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd. Eenmaal actief op een systeem maakt de usb-worm gebruik van een backdoor genaamd Roshtyak.

Avast analyseerde de backdoor en ontdekte dat die twee payloads bevat. Een "fake" payload, een bekend adware-exemplaar, en de echte kernfunctionaliteit. De echte payload wordt alleen uitgevoerd als aan alle eisen wordt voldaan. Wanneer de malware ontdekt dat die in een onderzoeksomgeving wordt geanalyseerd zal die de adware uitvoeren. Vermoedelijk wordt dit gedaan om malware-onderzoekers op het verkeerde been te zetten, aldus Avast.

De backdoor zelf is ontwikkeld om informatie over slachtoffers te verzamelen, zich lateraal door de omgeving van het slachtoffer te bewegen en permanente toegang tot systemen te behouden. De technieken die de backdoor toepast om detectie te voorkomen zijn nog nooit eerder vertoond, zo laat Avast verder weten. Eind juli maakte Microsoft bekend dat een beruchte groep cybercriminelen die door de Amerikaanse regering op een sanctielijst is geplaatst, van Raspberry Robin gebruikmaakt om toegang tot bedrijven en organisaties te krijgen.

Reacties (2)
23-09-2022, 12:37 door Anoniem

In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd.
De belangrijkste informatie mist hierbij: hoe wordt dit gedaan?
25-09-2022, 16:28 door Anoniem
Ik mis hoe de betreffende map (Ink) nu juist op de USB stick terecht kan komen. Tenzij “anoniem 1” dat bedoelt met “hoe dit gebeurd”, maar ik lees dat dat het installeren van de kwaadaardige software betreft.
Mvg Twan
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.