Raspberry Robin, auch bekannt als Roshtyak, ist ein fortschrittlicher Malware-Downloader, der seit 2021 aktiv Systeme angreift und sich hauptsächlich über infizierte USB-Geräte verbreitet. Die Malware ist weiterhin aktiv und wird kontinuierlich weiterentwickelt, um der Entdeckung zu entgehen. Seine Hauptaufgabe besteht darin, Payload auf einem kompromittierten Host nachzuladen und auszuführen.
Das Zscalers ThreatLabz-Team hat die Updates und Verschleierungstechniken der Malware zusammengestellt.
Neue Verschleierungstaktiken
Die Raspberry Robin-Entwickler haben die Verschleierungsmethoden der Malware verbessert, indem sie mehrere Initialisierungsschleifen zum Funktionsfluss hinzugefügt haben, wodurch die Brute Force-Entschlüsselung erschwert wird. Zudem verwendet Raspberry Robin nun verschleierte Stack-Pointer. Diese Technik stört den Dekompilierungsprozess von IDA.
In der Folge versagt die Dekompilierungsfunktion und die Security-Analysten müssen den Stack der Funktion manuell korrigieren. Eine Verschleierung von conditional Statements erschwert die Analyse der Logik von Raspberry Robin während der Codeanalyse zusätzlich.
Darüber hinaus wurden Änderungen in der Netzwerkkommunikation vorgenommen. Raspberry Robin verwendet nun zur Verschlüsselung von Netzwerkdaten den Algorithmus ChaCha-20 anstelle von AES-CTR. Während der 32 Byte-Schlüssel in der Binärdatei hard-coded ist, werden die Counter- und Nonce-Werte pro Anfrage zufällig generiert. Der CRC-64 Algorithmus wurde nicht verändert, aber die Initialwerte werden nun ebenfalls zufällig pro Kampagne erstellt.
Raspberry Robin hat auch seine Methode zum Einbetten vorsätzlich beschädigter TOR-Onion-Domains aktualisiert. Anfang 2024 erhielt der Downloader einen fest codierten Algorithmus in seinem TOR-Modul, um entschlüsselte C2-Domains dynamisch zu korrigieren. Dieser Teil des Codes wurde nun zu Beginn des Jahres 2025 modifiziert und wird nun ebenfalls mit jeder Kampagne angepasst.
Zudem wurde der Malware ein neuer Exploit zur lokalen Privilegienausweitung (LPE) hinzugefügt (CVE-2024-38196), um auf Zielsystemen erweiterte Berechtigungen zu erlangen.
Fazit
Raspberry Robin ist weiterhin aktiv und setzt nun aktualisierte Verschleierungstechniken, Verschlüsselungsmethoden und Taktiken ein, um eine Erkennung zu vermeiden und Reverse-Engineering-Analysen zu erschweren. Der Downloader stellt somit aufgrund seiner kontinuierlichen Verbesserungen weiterhin eine erhebliche Bedrohung für Sicherheitsteams dar.
Um die Malware dennoch frühzeitig zu erkennen und größeren Schaden zu vermeiden, empfiehlt sich eine mehrschichtige Cloud-Sicherheitsplattform mit integrierter Cloud Sandbox, welche Indikatoren der Malware auf verschiedenen Ebenen erkennt.