Avast sikkerhed forskere har opdaget en ny malware, stamme ved navn Rietspoof der er i øjeblikket sprede sig til ofre via instant messaging-klienter såsom Facebook Messenger og Skype.
I en rapport, der blev offentliggjort i løbet af weekenden, forskere beskrevet denne nye trussel, som en “multi-fase malware,” som først blev opdaget i August 2018, men der blev stort set ignoreret, indtil en mærkbar uptick i distribution indsats i sidste måned.
Rietspoof ‘ s vigtigste opgave er at inficere ofre, få persistens på inficerede værter, og derefter downloade anden malware stammer-afhængig af de ordrer, som den modtager fra en central command & control (C&C) server.
Vedholdenhed er opnået af malware ved at placere en LNK (genvej) på filen i Windows /mappen Start. Dette er en støjende drift, fordi de fleste antivirus produkter, ved at holde øje med denne mappe, men Avast siger Rietspoof er undertegnede også med legitime certifikater, så malware til at omgå sikkerhed kontrol.
Infektionen rutine består af fire forskellige faser –beskrevet i større detalje i Avast skrive-up her. Den faktiske Rietspoof malware, er faldet i fase tre, med den sidste fase, der reserveres til hentning af en mere indgribende og potent malware stamme.
Rietspoof er hvad sikkerhed, som forskerne kalder en “dropper” eller “downloader”, en malware stamme designet til det eneste formål at inficere ofre “noget stærkere.”
På grund af dette, er det funktionalitet er også meget begrænset. Det kan download, udføre, overføre og slette filer, og, i tilfælde af nødsituationer, det kan også slette sig selv. Ikke desto mindre, disse er mere end nok til Rietspoof til at gøre sit job.
Avast siger, at da det begyndte at se ind i denne nye trussel, den malware har ændret sin C&C kommunikationsprotokol, og er gået gennem andre mindre ændringer, som er foretaget forskere mener, at det er stadig under aktiv udvikling.
“Vores forskning kan stadig ikke bekræfte, om vi har afdækket hele infektion kæde,” sagde forskere på lørdag.
Rietspoof er den anden “malware dropper/downloader”, der er blevet set, picking up i aktivitet i de sidste par måneder. Den anden er navnet Vidar, en malware-stamme, der har hjulpet med forskellige kriminelle bander distribuere ransomware og password stealers. En analyse af Vidar malware er tilgængelig her.
Relaterede sikkerhed dækning:
Microsoft fjerner otte cryptojacking apps fra officielle storeWhite hatte sprede VKontakte orm når det sociale netværk ikke betaler bug bountyGoogle er at køre en auto-opdatering-til-HTTPS eksperiment i Chrome
En WordPress-kommercielle plugin bliver udnyttet i wildNew macOS sikkerhedshul kan ondsindede apps stjæle din Safari browserdata
Hacker lægger op til salg tredje runde af hackede databaser på den Mørke Web
Cryptomining malware spredes via AMERIKANSKE, BRITISKE og Australske regering steder TechRepublicGoogle forbud cryptocurrency minedrift udvidelser til Chrome CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre