Avast security-onderzoekers hebben ontdekt dat er een nieuwe malware-stam met de naam Rietspoof dat op dat moment verspreid van slachtoffers via het chatprogramma zoals Facebook Messenger en Skype.
In een rapport gepubliceerd in het weekend, onderzoekers beschreven deze nieuwe dreiging als een “multi-stage malware,” dat was voor het eerst gespot in augustus 2018, maar dat werd grotendeels genegeerd tot een merkbare stijging in de verdeling van de inspanningen van afgelopen maand.
Rietspoof de belangrijkste rol is om te infecteren slachtoffers, krijgen persistentie op geïnfecteerde hosts, en download vervolgens andere malware stammen –afhankelijk van de orders die zij ontvangt van een centrale command & control (C&C) server.
Persistentie is opgedaan door de malware door het plaatsen van een LNK (snelkoppeling) – bestand in de Windows /map Opstarten. Dit is een luidruchtige werking omdat de meeste antivirus producten weten te houden een oog op deze map, maar Avast zegt Rietspoof is ook ondertekend met legitieme certificaten, zodat de malware te omzeilen van de beveiliging controleert.
De infectie routine is opgebouwd uit vier verschillende fasen –worden in meer detail beschreven in de Avast schrijf-up hier. De werkelijke Rietspoof malware is gedaald in de derde fase, de laatste fase wordt gereserveerd voor het downloaden van een diepgaande en krachtige malware stam.
Rietspoof is wat security onderzoekers noemen een “druppelaar” of “downloader,” een malware stam ontworpen voor het enige doel van de besmetting van de slachtoffers met “iets sterker.”
Vanwege dit, de functionaliteit is ook zeer beperkt. Het kan downloaden, uit te voeren, uploaden en bestanden te verwijderen, en, in geval van nood, het kan ook zichzelf verwijderen. Toch, dit zijn meer dan genoeg voor Rietspoof om haar werk te doen.
Avast zegt dat sinds het begon op zoek naar dit nieuwe bedreiging, de malware heeft zijn C&C communicatie-protocol, en is gegaan door andere, kleinere wijzigingen, die gemaakt onderzoekers zijn van mening dat het nog steeds in ontwikkeling.
“Ons onderzoek nog steeds niet kunt bevestigen als we hebben ontdekt dat de hele infectie ketting,” zei de onderzoekers op zaterdag.
Rietspoof is de tweede “malware druppelaar/downloader” dat is gezien het oppakken van de activiteit in de afgelopen paar maanden. De andere is de naam Vidar, een malware-stam die heeft geholpen bij de verschillende criminele bendes verspreiden ransomware en wachtwoorddieven. Een analyse van de Vidar malware is hier beschikbaar.
Verwante zekerheid:
Microsoft verwijdert acht cryptojacking apps van de officiële storeWhite hoeden verspreid VKontakte worm na het sociale netwerk niet betalen bug bountyGoogle met een auto-update-naar-HTTPS experiment in Chrome
Een andere WordPress commerciële plugin wordt gebruikt in de wildNew macOS lek kunt schadelijke apps stelen van uw Safari browsen geschiedenis
Hacker zet voor de verkoop van de derde ronde van de gehackte databases op de Donkere Web
Cryptomining malware verspreid via AMERIKAANSE, BRITSE en Australische regering sites TechRepublicGoogle bans cryptocurrency mijnbouw extensies voor Chrome CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters