Rietspoof é um novo tipo de malware que está sendo distribuído em estado selvagem via Facebook Messenger e Skype. O malware foi descoberto por Avast, e está sendo descrito como uma ameaça de vários estágios que combina formatos de arquivo para criar um “malware mais versátil”.
A natureza do malware é conta-gotas, também conhecido como downloader, o que significa que o último estágio de infecção definitivamente baixará algo pior em hosts infectados.
Mesmo que o malware tenha sido detectado pela primeira vez em agosto do ano passado, chamou a atenção de pesquisadores de segurança no mês passado, quando o número de infecções cresceu.
Qual é o objetivo do malware Rietspoof?
O malware tem como objetivo infectar as vítimas, ganhar persistência nos sistemas afetados, e [wplinkpreview url =”https://sensorstechforum.com/remove-trojan-downloader-dde-gen-pc-october-2017/”]baixar mais malware conforme as instruções que recebe do servidor de comando e controle.
O caminho de infecção de Rietspoof contém vários estágios, e combina vários formatos de arquivo, com o único propósito de entregar malware mais versátil.
Os dados dos pesquisadores sugerem que a primeira etapa foi entregue por meio de clientes de mensagens instantâneas, como Skype ou Messenger. O malware entrega um Visual Basic Script altamente ofuscado com um segundo estágio codificado e criptografado — um arquivo CAB. “O arquivo CAB é expandido em um executável que é assinado digitalmente com uma assinatura válida, principalmente usando Comodo CA”, diz o relatório.
Como o malware ganha persistência? Colocando um arquivo LNK (atalho) na pasta Windows/Inicialização. Normalmente, as soluções antivírus monitoram essa pasta, mas o malware também é assinado com certificados legítimos, ignorando as verificações de segurança.
Como mencionado anteriormente, a infecção de Rietspoof consiste em vários estágios, e o malware em si é descartado no terceiro estágio. A última etapa envolve a distribuição de outra variedade de malware potente.
Ataques de malware Rietspoof provavelmente direcionados
O relatório destaca que o C.&O servidor C se comunica apenas com endereços IP definidos para os EUA, o que fez os pesquisadores acreditarem que detectaram um ataque especificamente direcionado. Outra opção é que os invasores estejam usando o intervalo de IP dos EUA apenas para fins de teste. além disso, é possível que existam mais fases que ainda não foram reveladas, o relatório concluiu.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: