Rietspoof est un nouveau type de logiciel malveillant qui est en cours de distribution dans la nature via Facebook Messenger et Skype. Le logiciel malveillant a été découvert par Avast, et est décrit comme une menace à plusieurs étapes qui combine les formats de fichiers pour créer un « malware plus polyvalent ».
La nature du malware est compte-gouttes, également connu sous le nom téléchargeur, ce qui signifie que la dernière étape de l'infection va certainement télécharger quelque chose de pire sur les hôtes infectés.
Même si le logiciel malveillant a été repéré pour la première fois en Août l'année dernière, il a attiré l'attention des chercheurs en sécurité le mois dernier lorsque le nombre d'infections a grossi.
Quel est le but de Rietspoof Malware?
Le logiciel malveillant vise à infecter les victimes, gagner la persistance sur les systèmes affectés, et [wplinkpreview url =”https://sensorstechforum.com/remove-trojan-downloader-dde-gen-pc-october-2017/”]télécharger plus de logiciels malveillants selon les instructions qu'il reçoit de la commande et le serveur de contrôle.
chemin d'infection de Rietspoof contient plusieurs étapes, et combine divers formats de fichiers, dans le seul but d'offrir des logiciels malveillants plus polyvalent.
Les données des chercheurs suggère que la première étape a été livré par les clients de messagerie instantanée, tels que Skype ou Messenger. Le logiciel malveillant fournit un script Visual Basic très obscurcie avec une deuxième étape codée en dur et crypté - un fichier CAB. « Le fichier CAB est étendu dans un fichier exécutable qui est signé numériquement avec une signature valide, la plupart du temps en utilisant Comodo CA », le rapport.
Comment gagner la persistance des programmes malveillants? En plaçant un fichier LNK (raccourci) dans le dossier Windows / Démarrage. En général, les solutions anti-virus contenu de ce dossier, mais le malware est également signé avec des certificats légitimes sans passer par conséquent des contrôles de sécurité.
Comme mentionné plus haut, l'infection de Rietspoof se compose de plusieurs étapes, et le logiciel malveillant lui-même est supprimée dans la troisième étape. La dernière étape consiste à la distribution d'une autre souche malware puissant.
Rietspoof Malware probablement attaques ciblées
Le rapport souligne que le C&serveur C communique uniquement avec des adresses IP définies aux Etats-Unis qui ont fait les chercheurs pensent qu'ils ont détecté une attaque ciblée spécifiquement. Une autre option est que les attaquants utilisent la gamme IP USA uniquement pour des raisons de test. En outre, il est possible qu'il y ait plusieurs étapes qui n'ont pas encore été révélé, le rapport a conclu.