Home » News » Cybersecurity » Raspberry Robin: Malware mit Wurm-Fähigkeiten

Raspberry Robin: Malware mit Wurm-Fähigkeiten

Raspberry Robin zeigt sich als sehr anpassungsfähig und schlau. Während seiner Entwicklung nutzte die Malware fortschrittliche Methoden wie Discord, um bösartige Daten zu übertragen, und sie machte sich Zero-Day-Schwachstellen wie CVE-2023-36802 zunutze, um lokale Berechtigungen zu erweitern.

1 Min. Lesezeit
Cyber-Wurm
Foto: ©AdobeStock/Florian

Raspberry Robin wurde erstmals 2021 von Red Canary entdeckt. Diese Malware verbreitete sich über USB-Geräte und gelangte so auf infizierte PCs. Die USB-Laufwerke enthielten bösartige Verknüpfungsdateien (LNK-Dateien), die sich als normale Thumb Drives oder Netzwerkfreigaben tarnten. Partner von Raspberry Robin starteten diese LNK-Dateien über Autoruns und nutzten Social Engineering, um Opfer dazu zu bringen, sie zu öffnen. Sobald die LNK-Datei geöffnet wurde, wurde der Windows-Installationsdienst (msiexec.exe) über cmd.exe gestartet, um eine schädliche Payload auf infizierten QNAP-NAS-Geräten zu installieren.

Im Februar 2024 berichtete Check Point von einem neuen Angriff, bei dem ein Archiv aus Discord heruntergeladen wurde. Dieses Archiv enthielt eine legitime, von Windows signierte Binärdatei sowie eine unsignierte bösartige DLL-Datei. Die Malware nutzte die Technik des DLL-Side-Loadings aus, indem sie die legitime Binärdatei verwendete, um die unsignierte DLL-Datei zu laden.

Der Bericht erwähnt auch, dass die Malware die Sicherheitslücke CVE-2023-36802 ausnutzte, um lokale Rechte zu erweitern, noch bevor Microsoft und CISA (Cybersecurity and Infrastructure Security Agency) offiziell vor dieser Schwachstelle warnten.

Es wird vermutet, dass die Partner von Raspberry Robin den Exploit für CVE-2023-36802 möglicherweise in Dark-Web-Foren gekauft haben, da er dort bereits im Februar 2023 angeboten wurde. Eine frühzeitige Erkennung ist entscheidend, um die potenziellen Auswirkungen der schädlichen Aktivitäten von Raspberry Robin zu minimieren. Moderne SIEM-Lösungen mit fortschrittlichen Abfragefunktionen können Unternehmen dabei helfen, die Verbreitung der Malware im Netzwerk zu stoppen. Sicherheitsexperten können gezielte Suchanfragen erstellen, um Anzeichen für Bedrohungen und mögliche Infektionen durch Raspberry Robin zu identifizieren und angemessen darauf zu reagieren.

Mehr zur technischen Analyse von Raspberry Robin gibt es hier.

Porträt Swachchhanda Shrawan Poudel

Swachchhanda Shrawan Poudel, Sicherheitsforscher bei Logpoint

Andere interessante News

Trends 2025

Welche Trends 2025 in Sachen KI, Investitionsverhalten und Containment durchschlagen

2025 – ein Jahr des tiefgreifenden Wandels der Cybersicherheit: Künstliche Intelligenz wird neu definiert, Unternehmen kämpfen mit der Balance zwischen Innovation und Sicherheit, u...

Digitaler Chatbot

2. Jahrestag von ChatGPT: Als eine neue KI-Generation die Welt erblickte

Generative KI hat die Welt verändert: Mit der Einführung von ChatGPT vor zwei Jahren wurde Künstliche Intelligenz erstmals alltagstauglich. Sie kommuniziert, versteht und erstellt ...

Digitaler Schlüssel in Schloss

Post-Quanten-Kryptografie: BSI drängt auf Wechsel

Quantencomputer bedrohen die Sicherheit von Online-Banking, Smart-Home-Systemen und Messenger-Diensten. Um dieser Gefahr zu begegnen, ruft das Bundesamt für Sicherheit in der Infor...