هشدار به کاربران ویندوز: کرم Raspberry Robin مثل کروناویروس واگیردار است!

به تازگی یک کرم کامپیوتری به نام Raspberry Robin کشف شده که از طریق دستگاه‌های USB انتقال پیدا می‌کند. رزبری رابین مثل کروناویروس دنیای کامپیوترها واگیردار است!

یک کرم رایانه‌ای جدید به نام Raspberry Robin کشف شده که در کل اروپا و عمدتاً از طریق دستگاه‌های مجهز به پورت USB از کامپیوتری به کامپیوتر دیگر منتقل می‌شود. محققان اطلاعاتی گروه Red Canary این کرم را در سپتامبر سال ۲۰۲۱ کشف کردند و در همان زمان به کاربران ویندوزی نسبت به نفوذ این کرم به دستگاه‌هایشان هشدار دادند.

دستگاه‌های USB؛ هدف اصلی کرم Raspberry Robin

اصلی‌ترین وسیله نقلیه‌ای که کرم رزبری رابین برای انتقال از آن استفاده می‌کند،‌ دستگاه‌های USB است. دستگاهی که به این کرم آلوده شده باشد، یک فایل با پسوند LNK. را به نمایش خواهد گذاشت که از طریق خط فرمان (Command Prompt) و یک فرآیند msiexec ایجاد می‌شود. علاوه بر این‌ها، در دستگاه قربانی یک فایل BAT شامل دو فرمان مختلف نیز دیده می‌شود.

اما به جز موارد بالا، دو تا از ابزارهای ویندوز به نام fodhelper.exe و odbcconf.exe نیز مورد هجوم این کرم قرار می‌گیرند. گرچه هر دو فایل از نوع exe هستند، اولی برای مدیریت امکانات ویندوز و دومی برای پیکربندی درایورهای ODBC مورد استفاده قرار می‌گیرند. استفاده از این فایل‌های مختلف باعث می‌شود کرم رزبری رابین سخت‌تر شناسایی شود. این بدافزار همچنین از نودهای خروج TOR برای ارتباط برقرار کردن با کل اکوسیستم استفاده می‌کند که تشخیص را دشوارتر هم می‌کند.

دستگاه‌های QNAP NAS هم هدف رزبری رابین هستند

دستگاه‌های QNAP NAS نیز در معرض خطر کرم رزبری رابین قرار دارند. مهاجمان از درخواست‌های HTTP که شامل نام کاربر و دستگاه قربانی بعد از دانلودیک فایل LNK. است استفاده می‌کنند. این کرم از یک فایل آلوده DLL از یک دستگاه QNAP برای دسترسی و کنترل روی یک سیستم استفاده می‌کنند. دستگاه‌های QNAP بنا به دلایل مختلفی همیشه در معرض خطر (خصوصاً بدافزارها) قرار داشته‌اند.

هنوز چیز زیادی از کرم رزبری رابین می‌دانیم

اهداف کرم Raspberry Robin را اغلب کاربران ویندوزی و هزاران دستگاهی که هم اکنون آلوده به آن شده‌اند، تشکیل می‌دهد. تا این لحظه مشخص نیست که چگونه این کرم از طریق یک درایو USB به دستگاه دیگری انتقال پیدا می‌کند و این نگران کننده است. Red Canary در یک پست وبلاگی می‌گوید که آن‌ها با چند شکاف اطلاعاتی پیرامون موج حملات رزبری رابین سروکار دارند که نشان می‌دهد قصد آن‌ها خرابکاری در اپراتورها است.

هنگام اتصال یک دستگاه USB به کامپیوتر خود مراقب باشید

هنوز اهداف اصلی و پویایی رزبری رابین به طور کامل کشف نشده است و این درک آینده‌ی پیش روی این بدافزار را برای ما دشوار می‌کند. در حال حاضر تنها می‌توان به این نکته اشاره کرد که کاربران باید هنگام اتصال دستگاه‌های USB به کامپیوتر خود مراقب باشند و هر دستگاهی را بدون اطمینان از سالم بودنش به سیستم خود وصل نکنند.