Un type relativement nouveau de ver Windows, connu sous le nom de Raspberry Robin, s’est propagé de victime en victime à travers l’Europe, principalement via des périphériques USB. Les analystes du renseignement de Red Canary ont initialement découvert ce ver en septembre 2021 et ont averti les utilisateurs de Windows de sa menace potentielle pour leurs appareils.

Les périphériques USB sont la cible principale de Raspberry Robin

Le principal véhicule de transfert du ver Raspberry Robin est les périphériques USB. Un appareil infecté montrera à la victime un fichier .LNK lors de l’insertion, qui infecte l’appareil via l’invite de commande via la création d’un processus msiexec (appelé msiexec.exe). Un fichier BAT est également présent dans les appareils infectés, qui contient deux commandes.


usb inséré dans un ordinateur portable derrière le logo d'alerte translucide

Deux outils Windows supplémentaires sont exploités par Raspberry Robin : fodhelper.exe et odbcconf.exe. Bien que les deux soient des fichiers exécutables, le premier est utilisé pour gérer les fonctionnalités de Windows, tandis que le second est utilisé pour la configuration des pilotes ODBC (Open Database Connectivity). L’exploitation de ces trois fichiers différents permet à Raspberry Robin d’être moins facilement détectable. Ce malware utilise également des nœuds de sortie TOR pour communiquer avec le reste de son écosystème, ce qui le rend également plus difficile à repérer.

Les appareils NAS QNAP sont également une cible Raspberry Robin

Les périphériques QNAP NAS (Network-Attached Storage) compromis sont également exploités dans le processus d’infection Raspberry Robin, dans lequel l’attaquant utilise des requêtes HTTP qui contiennent les noms d’utilisateur et de périphérique de la victime après le téléchargement du fichier .LNK. Le ver utilise une DLL (Dynamic-Link Library) malveillante d’un appareil QNAP compromis pour accéder et contrôler son système. Les appareils QNAP ont été exploités par des attaquants dans le passé pour diverses raisons, en particulier l’infection par des logiciels malveillants.

Il y a encore beaucoup à apprendre sur Raspberry Robin

Raspberry Robin cible spécifiquement les utilisateurs de Windows et des centaines d’appareils ont déjà été touchés. Pour le moment, on ne sait toujours pas comment Raspberry Robin se propage d’une clé USB à l’autre, ce qui est préoccupant en termes d’atténuation des infections. Dans un billet sur le blog des canaris rouges la société affirme qu’elle est confrontée à « plusieurs lacunes en matière de renseignement » autour de cette vague d’attaques Raspberry Robin, y compris l’intention générale des opérateurs du malware.

Soyez prudent lorsque vous insérez des clés USB dans votre ordinateur

La dynamique et les objectifs de Raspberry Robin ne sont pas encore totalement compris, ce qui rend plus difficile pour nous de déterminer le véritable objectif et l’avenir de ce malware. Les utilisateurs de Windows doivent donc être vigilants sur les clés USB qu’ils choisissent d’insérer dans l’un de leurs appareils.