Ransomware Rietspoof é distribuído via messenger apps.

Um recente malware chamado Rietspoof está sob o radar dos investigadores da Avast desde agosto passado. Segundo relatos, eles suspeitam que o malware está em ascensão e está a ser distribuído via Skype, Facebook Messenger e outras apps de mensagens.

Os investigadores da Avast adiantaram ainda que não têm sido notados updates regulares desde janeiro no malware, o que poderá indicar que um ataque in-the-wild poderá estar em andamento.

Vale a pena notar que o Rietspoof foi descoberta pela Avast durante o verão de 2018. No entanto, ele está agora a circular numa versão mais otimizada e muitos criminosos a estão a usá-lo para atacar os mais descuidados.

Para descarregar o ransomware, o malware precisa estabelecer uma ligação com o servidor C & C. O servidor implementa uma geofence, que é estabelecida no endereço IP do dispositivo infectado.

Durante a sua execução, o malware usa diferentes formatos de ficheiros para infectar a dispositivo target.

O malware pode ser disseminado via Facebook Messenger, Skype ou plataformas semelhantes de mensagens.

Mais tarde, ele utiliza um “highly obfuscated visual basic script” que possui um ficheiro CAB cifrado e ofuscado.

 

Este ficheiro pode ser utilizado para instalar o downloader. Depois disso, o Rietspoof é instalado.

O malware não é muito avançado, ele apenas possuí recursos para ler e gravar ficheiros, iniciar novos processos e, se detetar algum tipo de comportamento de análise de malware, têm a capacidade de se autodestruir.

Os investigadores da Avast não conseguiram identificar os criminosos por trás da malware ou seus potenciais alvos, mas explicaram que os ficheiros infetados não são detetados ou ignorados pela maioria dos motores de AV.

Os investigadores testaram muitas amostras e identificaram que existem variações nos protocolos de comunicação. Em particular, seis comandos são enviados pelo servidor C&C para o malware.

rietspoof-malware-distributes-ransomware-to-facebook-skype-users-2-768x500

 

Todos aqueles que receberem endereços ou ficheiros estranhos via mensagens de chat deverão estar atentos e evitar clicar e descarregar a ameça. Isso também deve ser de imediato reportado ao provedor do serviço de forma a mitigar este tipo de problemas.

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *