A empresa de segurança informática Red Canary está a rastrear a actividade de um worm denominado Raspberry Robin. Este worm foi detectado inicialmente em Setembro de 2021, mas teve um pico de actividade em Janeiro deste ano.
Hoje em dia, a esmagadora maioria do malware é distribuído através da Internet e, de facto, o Raspberry Robin usa a Internet para descarregar ficheiros, mas, neste caso específico, a distribuição é feita através de drives USB. O worm usa a funcionalidade autoplay do Windows para carregar um ficheiro .LNK, um ficheiro que contém um atalho. A partir daqui, é activado o interpretador de comandos do Windows e usa o instalador padrão do Windows, msiexec.exe, para descarregar ficheiros DLL maliciosos, que são instalados no sistema. O objectivo deste processo ainda não é claro, mas, aparentemente, é para o worm se tornar persistente.
De seguida, o sistema faz várias tentativas de se ligar a vários dispositivos, normalmente nós da rede TOR. Não se sabe ainda o que este worm está a fazer ou porque o está a fazer. Outra incógnita é o autor deste malware. Este malware tem sido descoberto em dispositivos de rede de várias fábricas e em empresas tecnológicas.
A Red Canary está a pedir a quem tem informação acerca do propósito e funcionamento do Raspberry Robin que assista na investigação. A Red Canary publicou um artigo, que indica os sinais de infecção por este worm para quem quiser verificar a presença deste malware nos seus sistemas.
