Neue Tarnmechanismen

Bösartiger Downloader Raspberry Robin mit neuen Updates

Schadsoftware
LinkedInRedditWhatsAppPocket

Seit 2021 sorgt die Schadsoftware Raspberry Robin, auch unter dem Namen Roshtyak bekannt, für Angriffe auf IT-Systeme.

Sie verbreitet sich vor allem über infizierte USB-Geräte und dient als Downloader, um weitere Schadprogramme auf kompromittierten Rechnern nachzuladen. Nun haben Sicherheitsexperten von Zscalers ThreatLabz-Team neue Weiterentwicklungen der Malware dokumentiert.

Anzeige

Eine der auffälligsten Neuerungen sind erweiterte Methoden zur Tarnung des Codes. Die Entwickler setzen auf zusätzliche Initialisierungsschleifen, die eine Brute-Force-Entschlüsselung erschweren. Außerdem wird der Stack-Pointer verschleiert, wodurch automatische Dekompilierungstools wie IDA ins Leere laufen. Analysen müssen daher manuell erfolgen – ein zeitintensiver Prozess.
Auch die Logik innerhalb des Codes wird stärker verschleiert, etwa durch gezielt veränderte Bedingungsabfragen. Ziel ist es, Analysten das Nachvollziehen der Abläufe so schwer wie möglich zu machen.

Veränderungen in der Netzwerkkommunikation

Neben der Code-Verschleierung wurde auch die Kommunikation mit den Kontrollservern angepasst. Statt wie bisher AES-CTR setzt Raspberry Robin nun auf ChaCha20 zur Verschlüsselung von Netzwerkdaten. Während der Schlüssel fest im Code verankert ist, werden Zähler und Nonce-Werte für jede Anfrage zufällig erzeugt. Zusätzlich werden die Startwerte des CRC-64-Algorithmus nun bei jeder Kampagne neu definiert.
Auch das TOR-Modul wurde weiterentwickelt. Bereits 2024 erhielt es einen Mechanismus, um fehlerhafte Onion-Domains dynamisch zu korrigieren. Diese Technik wird Anfang 2025 erneut angepasst und für jede Kampagne individuell verändert.

Ein weiterer Schritt in der Weiterentwicklung ist die Integration eines aktuellen Exploits zur lokalen Privilegieneskalation (CVE-2024-38196). Damit verschafft sich die Malware auf infizierten Systemen erweiterte Rechte – ein gefährlicher Hebel für nachgeladene Schadsoftware.

Anzeige

Dauerhafte Bedrohung für Sicherheitsteams

Die kontinuierlichen Anpassungen zeigen: Raspberry Robin bleibt ein ernstzunehmendes Risiko. Durch neue Verschleierungstechniken, aktualisierte Verschlüsselung und gezielte Ausnutzung von Sicherheitslücken wird die Analyse und Abwehr zunehmend erschwert.
Für Unternehmen bedeutet das, dass klassische Schutzmaßnahmen allein nicht ausreichen. Sicherheitsteams benötigen mehrschichtige Abwehrstrategien, die sowohl das Verhalten der Malware als auch ihre Kommunikationsmuster überwachen und frühzeitig Anomalien erkennen.


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig verstärkt seit Mai 2020 das Team des IT Verlags als Online-Redakteurin. (pd)
Anzeige

Artikel zu diesem Thema

Google Play Store: 77 schädliche Apps mit über 19 Mio. Downloads

Weitere Artikel

40 Prozent aller KMU-Cyberangriffe in Europa treffen Österreich
Deepfakes in Echtzeit? Ab 30 US-Dollar im Darknet verfügbar
Sicherheit und Resilienz in der IT – worauf es ankommt
Russische Top-Hacker Gamaredon und Turla greifen ukrainische Spitzenziele an
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.