研究人员警告说，树莓罗宾蠕虫的目标是Windows用户

网络安全研究人员正在提请人们注意一系列正在进行的攻击，这些攻击与一个名为Raspberry Robin的威胁集群有关，该集群位于一个具有类似蠕虫功能的Windows恶意软件背后。

Cybereason称这是一个“持续的”和“正在传播的”威胁，并称在欧洲观察到了一些受害者。

该恶意软件也被Sekoia命名为QNAP蠕虫，利用名为“msiexec.exe”的合法Windows installer二进制文件从受损的QNAP NAS设备下载并执行恶意共享库（DLL）。

Cybereason研究人员Loïc Castel在一份技术报告中说：“为了使其更难检测，Raspberry Robin在三个合法的Windows系统进程中利用了进程注入，并补充说它“通过TOR出口节点与基础设施的其余部分进行通信”。

通过在启动阶段通过Windows二进制文件“rundll32.exe”修改Windows注册表以加载恶意负载，可以在受损机器上实现持久性。

这场运动被认为可以追溯到2021 9月，迄今为止仍然是一个谜，没有任何关于威胁行为者的来源或最终目标的线索。

QNAP表示正在积极调查针对其设备的新一波将死勒索软件感染，这是继AgeLocker、eCh0raix和DeadBolt之后的一系列攻击中的最新一次。

该公司在一份咨询报告中指出：“初步调查表明，Checkmate攻击通过暴露在互联网上的SMB服务进行，并使用字典攻击来破解密码较弱的帐户”。

“一旦攻击者成功登录到设备，他们就会加密共享文件夹中的数据，并留下一张带有文件名的勒索单”！CHECKMATE\u DECRYPTION\u README“在每个文件夹中”。

作为预防措施，这家台湾公司建议客户不要将中小企业服务暴露在互联网上，提高密码强度，定期备份，并将QNAP操作系统更新到最新版本。