研究者は、外部ドライブを介した「ラズベリーロビン」マルウェアの拡散について警告します

マルウェアを「RaspberryRobin」という名前のクラスターに帰属させるRedCanaryの研究者は、このワームが「Windowsインストーラーを利用してQNAP関連ドメインにアクセスし、悪意のあるDLLをダウンロードする」と述べています。
Raspberry Robinに関連する攻撃チェーンは、感染したUSBドライブをWindowsマシンに接続することから始まります。
次に、ワームはcmd.exeを使用して新しいプロセスを生成し、外部ドライブに保存されている悪意のあるファイルを読み取って実行します。
その後、悪意のあるDLLは、fodhelper.exe、rundll32.exeからrundll32.exe、odbcconf.exeなどの正規のWindowsユーティリティのチェーンを使用してロードおよび実行され、ユーザーアカウント制御（UAC）を効果的にバイパスします。