Cybereasonは7月7日(米国時間)、「THREAT ALERT: Raspberry Robin Worm Abuses Windows Installer and QNAP Devices」において、QNAPデバイスを介して感染が拡大しているワーム型マルウェアの脅威について伝えた。Cybereasonの研究者が「Raspberry Robin」と呼ばれるWindowsワームによるキャンペーンを分析し、QNAPユーザーに注意を呼びかけている。
Raspberry Robinは、Windowsの.lnkファイルを悪用して感染するWindowsネットワークを標的としたワーム型マルウェア(参考「何百ものWindowsネットワークでマルウェア発見、Microsoftが報告 | TECH+」)。
Cybereasonの分析によって、Raspberry Robinが侵害されたQNAPのNASをステージャとして悪用し、USBデバイスまたは共有フォルダに広がっていることが判明した。特にヨーロッパでキャンペーンが拡大しているという。
QNAPワームであるこのマルウェアは、「msiexec.exe」と呼ばれる正規のWindowsインストーラバイナリを悪用して、侵害されたQNAP NASアプライアンスから悪意のある共有ライブラリをダウンロードして実行するとのこと。さらに感染を持続させるため、システム起動時にWindowsバイナリ「 rundll32.exe 」を介して悪意のあるモジュールを自動的にロードするようWindowsレジストリを変更するとしている。
Raspberry Robinの感染を防ぐため、SMBサービスをインターネットに公開しないことやパスワード強度を向上させること、定期的なバックアップを取ること、QNAPオペレーティングシステムを最新バージョンに更新することなどが推奨されている。