Raspberry Robin: novo malware misterioso infecta PCs via pendrive

A empresa de segurança digital Red Canary detectou um novo conjunto de cibercrimes que ainda não teve todos os detalhes descobertos, mas pode ser uma grande ameaça para empresas.

Trata-se do Raspberry Robin, um conjunto de atividades que começa com um método curioso de infecção: um pendrive que deve ser inserido em entradas USB de computadores. Até agora, diversas empresas do ramo de tecnologia e indústria já teriam sido alvo, mas nenhuma sofreu danos do ataque.

Quando o pendrive é inserido no aparelho, o worm se disfarça de um atalho de extensão LNK para fugir de plataformas de segurança digital. 

O início da infecção, com a execução de arquivos disfarçados.

Ao ser conectado, ele começa a executar os códigos, tudo a partir do prompt de comando do PC (cmd.exe). Ele ainda usa o executável da própria Microsoft para instalar produtos (Msiexec.exe) para tentar estabelecer uma comunicação enterna com domínios possivelmente danosos, inclusive usando redes do navegador anônimo Tor.

Além disso, há a instalação de um arquivo DLL no sistema que, ao que tudo indica, é uma das etapas de persistência da invasão no sistema.

Mistérios

O problema? Depois de todas essas etapas, a atuação do Raspberry Robin segue um mistério. Os especialistas não encontraram exatamente o que esse malware faz nos PCs infectados ou se ele ainda está dormente aguardando comandos específicos que podem levar ao roubo de dados, gerenciamento remoto ou comprometimento do sistema.

A Red Canary ainda não descobriu também como de fato a infecção acontece — se é uma atividade interna ou alguma pessoa mal intencionada que ganha acesso aos computadores das vítimas, por exemplo. Atividades assim já são registradas desde setembro de 2021 e o relatório completo da atuação do cibercrime pode ser visto neste link (em inglês).