Antivirusbedrijf Avast heeft dit jaar de Raspberry Robin usb-worm al bij 550.000 gebruikers gedetecteerd en geblokkeerd, wat aantoont dat dergelijke malware nog altijd zeer actief is. Toch zijn er nog veel vragen over de malware, zoals het uiteindelijke doel, wie erachter zit en hoe Raspberry Robin wijdverbreid raakte. Avast detecteerde de usb-worm wereldwijd.

Raspberry Robin maakt gebruik van lnk-bestanden op usb-sticks om zich te verspreiden. Deze lnk-bestanden doen zich voor als een legitieme map op de besmette usb-stick. In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd. Eenmaal actief op een systeem maakt de usb-worm gebruik van een backdoor genaamd Roshtyak.

Avast analyseerde de backdoor en ontdekte dat die twee payloads bevat. Een "fake" payload, een bekend adware-exemplaar, en de echte kernfunctionaliteit. De echte payload wordt alleen uitgevoerd als aan alle eisen wordt voldaan. Wanneer de malware ontdekt dat die in een onderzoeksomgeving wordt geanalyseerd zal die de adware uitvoeren. Vermoedelijk wordt dit gedaan om malware-onderzoekers op het verkeerde been te zetten, aldus Avast.

De backdoor zelf is ontwikkeld om informatie over slachtoffers te verzamelen, zich lateraal door de omgeving van het slachtoffer te bewegen en permanente toegang tot systemen te behouden. De technieken die de backdoor toepast om detectie te voorkomen zijn nog nooit eerder vertoond, zo laat Avast verder weten. Eind juli maakte Microsoft bekend dat een beruchte groep cybercriminelen die door de Amerikaanse regering op een sanctielijst is geplaatst, van Raspberry Robin gebruikmaakt om toegang tot bedrijven en organisaties te krijgen.