Rietspoof è un nuovo tipo di malware che è attualmente in corso di distribuzione in natura via Facebook Messenger e Skype. Il malware è stato scoperto da Avast, e che viene descritto come una minaccia a più stadi che unisce i formati di file per creare un “malware più versatile”.
La natura del malware è in contagocce, conosciuto anche come downloader, il che significa che l'ultimo stadio di infezione sarà sicuramente scaricare qualcosa di peggio su host infettati.
Anche se il malware è stato avvistato per la prima volta nel mese di agosto dello scorso anno, che ha catturato l'attenzione dei ricercatori di sicurezza il mese scorso, quando il numero di infezioni è cresciuto più grande.
Qual è lo scopo della Rietspoof malware?
Il malware sta puntando per infettare le vittime, ottenere la persistenza sui sistemi interessati, e [wplinkpreview url =”https://sensorstechforum.com/remove-trojan-downloader-dde-gen-pc-october-2017/”]scaricare più malware secondo le istruzioni che riceve dal server di comando e controllo.
percorso infezione di Rietspoof contiene diverse fasi, e combina vari formati di file, con il solo scopo di fornire il malware più versatile.
i dati dei ricercatori suggerisce che la prima fase è stato consegnato attraverso i client di messaggistica istantanea, come ad esempio Skype o Messenger. Il malware offre una grande offuscato Visual Basic Script con un secondo stadio hard-coded e criptato - un file CAB. “Il file CAB si espande in un file eseguibile che viene firmato digitalmente con una firma valida, in gran parte utilizzando Comodo CA”, il rapporto dice.
In che modo il malware guadagno di persistenza? Inserendo un file LNK (scorciatoia) nella cartella Windows / Avvio. Di solito soluzioni anti-virus monitorare questa cartella, ma il malware viene anche firmato con i certificati legittimi quindi bypassando controlli di sicurezza.
Come accennato in precedenza, l'infezione di Rietspoof comprende varie fasi, e malware stesso è caduto nella terza fase. L'ultima fase prevede la distribuzione di un altro potente ceppo di malware.
Gli attacchi di malware Rietspoof Probabile mirati
La relazione mette in evidenza che la C&Server C comunica solo con gli indirizzi IP impostati a Stati Uniti d'America che hanno fatto i ricercatori ritengono che hanno rilevato un attacco mirato specificamente. Un'altra possibilità è che gli aggressori stanno utilizzando la gamma USA IP solo per motivi di test. Inoltre, è possibile che ci sono più stadi che non sono ancora stati rivelati, la relazione ha concluso.