Avast säkerhet forskare har upptäckt ett nytt skadligt stam som heter Rietspoof som för närvarande sprids till offer via instant messaging klienter såsom Facebook Messenger och Skype.
I en rapport som offentliggjordes i helgen, har forskare beskrivit detta nya hot som en “multi-stage-malware”, som först upptäcktes i augusti 2018, men som till stor del ignoreras tills en märkbar uppgång i distribution insatser förra månaden.
Rietspoof viktigaste roll är att infektera offer, få uthållighet på infekterade värdar, och sedan ladda ner annan skadlig kod stammar –beroende på de order man får från en central command & control (C&C) server.
Uthållighet fick av skadlig kod genom att placera en LNK (genväg) – fil i Windows Autostart-mappen. Det är en bullrig drift eftersom de flesta antivirusprogram vet att hålla ett öga på den här mappen, men Avast säger Rietspoof är även tecknat med giltiga certifikat, vilket gör att skadlig kod för att kringgå säkerheten kontroller.
Infektionen rutin består av fyra olika stadier –som beskrivs i större detalj i Avast skriva upp här. Den faktiska Rietspoof malware tappas i etapp tre, den sista etappen, som är reserverad för nedladdning av en mer påträngande och potent malware stam.
Rietspoof är säkerhet vad forskarna kallar en “pipetten” eller “nedladdare”, en malware stam utformade för det enda syftet att den smittar offer med “något starkare.”
På grund av detta, att den funktionalitet är också mycket begränsad. Det kan ladda ner, kör programmet, ladda upp och ta bort filer, och, i händelse av krissituationer, men det kan också ta bort sig själv. Icke desto mindre, detta är mer än tillräckligt för Rietspoof att göra sitt jobb.
Avast säger att eftersom det började titta in i detta nya hot, malware har ändrat sin C&C kommunikationsprotokoll, och har gått igenom andra mindre ändringar, som gjorts av forskare tror att det fortfarande är under aktiv utveckling.
“Vår forskning kan fortfarande inte bekräfta om att vi har upptäckt hela infektion kedjan”, säger forskare på lördag.
Rietspoof är den andra “malware dropper/downloader” som har sett att plocka upp i aktivitet under de senaste månaderna. Den andra heter Vidar, en malware stam som har hjälpt olika kriminella gäng distribuera ransomware och stjäla lösenord. En analys av Vidar skadliga program finns här.
Relaterade förmåner:
Microsoft tar bort åtta cryptojacking appar från officiella storeWhite hattar sprida VKontakte mask efter att sociala nätverk inte betala bugg bountyGoogle kör en automatisk uppdatering-att-HTTPS experiment i Chrome
En annan kommersiella WordPress plugin får utnyttjas i wildNew macOS säkerhetsbrist kan skadliga appar stjäla din Safari historik
Hacker lägger upp för försäljning i tredje omgången av hackade databaser på Mörka Webben
Cryptomining skadlig kod sprids via AMERIKANSKA, BRITTISKA och Australiska regeringen platser TechRepublicGoogle förbud cryptocurrency gruv-tillägg för Chrome CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter