Bösartiger Downloader Raspberry Robin mit neuen UpdatesAngriff über infizierte USB-Geräte
24. September 2025
Raspberry Robin, auch bekannt als Roshtyak erhält verbesserte Verschleierungsmethoden, die Umstellung der Netzwerkverschlüsselung und einen neuen Exploit zur lokalen Privilegien-Eskalation. Diese Malware greift seit 2021 aktiv Systeme an und verbreitet sich hauptsächlich über infizierte USB-Geräte verbreitet.
Roshtyak wird kontinuierlich weiterentwickelt, um der Entdeckung zu entgehen. Seine Hauptaufgabe besteht darin, Payload auf einem kompromittierten Host nachzuladen und auszuführen.
Aktualisierte Verschleierungstaktiken
Die Raspberry Robin-Entwickler haben die Verschleierungsmethoden der Malware verbessert, indem sie mehrere Initialisierungsschleifen zum Funktionsfluss hinzugefügt haben, wodurch die Brute Force-Entschlüsselung erschwert wird.
Zudem verwendet Raspberry Robin nun verschleierte Stack-Pointer. Diese Technik stört den Dekompilierungsprozess von IDA. In der Folge versagt die Dekompilierungsfunktion und die Security-Analysten müssen den Stack der Funktion manuell korrigieren. Eine Verschleierung von Conditional-Statements erschwert die Analyse der Logik von Raspberry Robin während der Codeanalyse zusätzlich.
Darüber hinaus wurden Änderungen in der Netzwerkkommunikation vorgenommen. Raspberry Robin verwendet nun zur Verschlüsselung von Netzwerkdaten den Algorithmus ChaCha-20 anstelle von AES-CTR. Während der 32 Byte-Schlüssel in der Binärdatei hard-coded ist, werden die Counter- und Nonce-Werte pro Anfrage zufällig generiert. Der CRC-64 Algorithmus wurde nicht verändert, aber die Initialwerte werden nun ebenfalls zufällig pro Kampagne erstellt.
Raspberry Robin hat auch seine Methode zum Einbetten vorsätzlich beschädigter TOR-Onion-Domains aktualisiert. Anfang 2024 erhielt der Downloader einen fest codierten Algorithmus in seinem TOR-Modul, um entschlüsselte C2-Domains dynamisch zu korrigieren. Dieser Teil des Codes wurde nun zu Beginn des Jahres 2025 modifiziert und wird nun ebenfalls mit jeder Kampagne angepasst. Zudem wurde der Malware ein neuer Exploit zur lokalen Privilegienausweitung (LPE) hinzugefügt (CVE-2024-38196), um auf Zielsystemen erweiterte Berechtigungen zu erlangen.
Raspberry Robin stellt aufgrund seiner kontinuierlichen Verbesserungen weiterhin eine erhebliche Bedrohung für Sicherheitsteams dar. Um die Malware dennoch frühzeitig zu erkennen und größeren Schaden zu vermeiden, empfiehlt sich eine mehrschichtige Cloud-Sicherheitsplattform mit integrierter Cloud Sandbox, welche Indikatoren der Malware auf verschiedenen Ebenen erkennt. (rhh)
Zur detaillierten Analyse aller Updates der Raspberry Robin Malware.
