Ερευνητές ασφάλειας της Avast ανακάλυψαν ένα νέο κακόβουλο λογισμικό που ονομάζεται Rietspoof. Το malware εξαπλώνεται μέσω εφαρμογών άμεσων μηνυμάτων όπως το Facebook Messenger και το Skype.
Μια έκθεση που δημοσιεύθηκε το Σαββατοκύριακο, περιγράφει τη νέα απειλή σαν ένα “κακόβουλο λογισμικό πολλών σταδίων”, το οποίο εντοπίστηκε για πρώτη φορά τον Αύγουστο του 2018, αλλά αγνοήθηκε έως ότου παρατηρήθηκε αξιοσημείωτη αύξηση στις προσπάθειες διανομής τον περασμένο μήνα.
Ο κύριος ρόλος του Rietspoof είναι να μολύνει τα θύματα, και στη συνέχεια να κατεβάσει περισσότερα malware, ανάλογα με τις εντολές που λαμβάνει από ένα κεντρικό διακομιστή ελέγχου (C&C).
Αμέσως μετά την λήψη του κακόβουλου λογισμικού τοποθετεί ένα αρχείο LNK (συντόμευση) στο φάκελο Windows/Startup. Πρόκειται για μια διεργασία που την παρακολουθούν τα περισσότερα προϊόντα προστασίας από ιούς, αλλά η Avast αναφέρει ότι το Rietspoof έχει υπογραφεί με νόμιμα πιστοποιητικά, επιτρέποντας στο κακόβουλο λογισμικό να παρακάμπτει ελέγχους ασφαλείας.
Η λοίμωξη αποτελείται από τέσσερα διαφορετικά στάδια που περιγράφονται λεπτομερέστερα στη δημοσίευση της Avast εδώ. Το πραγματικό κακόβουλο λογισμικό Rietspoof εμφανίζεται στο τρίτο στάδιο, ενώ το τελευταίο στάδιο πραγματοποιεί λήψη πιο ισχυρών malware.
Το Rietspoof είναι το κακόβουλο λογισμικό που οι ερευνητές της ασφάλειας ονομάζουν “dropper” ή “downloader”, είναι ένα είδος malware που σχεδιάστηκε με μοναδικό σκοπό να μολύνει τα θύματά του με “κάτι ισχυρότερο”.
Μπορεί να κατεβάζει, να τρέχει, να ανεβάζει και να διαγράφει αρχεία και σε περίπτωση έκτακτης ανάγκης, μπορεί ακόμα και να διαγράψει τον εαυτό του.
Η Avast αναφέρει ότι από τότε που άρχισε να εξετάζει αυτή τη νέα απειλή, το κακόβουλο λογισμικό έχει αλλάξει το πρωτόκολλο επικοινωνίας C&C και πραγματοποιήσει πολλές μικρές αλλαγές, κάτι που κάνει τους ερευνητές να πιστεύουν ότι βρίσκεται ακόμα σε ενεργό ανάπτυξη.
“Η έρευνά μας δεν μπορεί να επιβεβαιώσει αν έχουμε αποκαλύψει ολόκληρη την αλυσίδα μόλυνσης”, ανέφεραν ερευνητές το Σάββατο.
Το Rietspoof είναι το δεύτερο “dropper/downloader” κακόβουλου λογισμικού που δραστηριοποιείται τους τελευταίους μήνες. Ένα άλλο ονομάζεται Vidar, και χρησιμοποιείται από εγκληματίες για να διανέμουν ransomware και stealers. Μια ανάλυση του κακόβουλου λογισμικού Vidar είναι διαθέσιμη εδώ.
____________________