Um recente malware chamado Rietspoof está sob o radar dos investigadores da Avast desde agosto passado. Segundo relatos, eles suspeitam que o malware está em ascensão e está a ser distribuído via Skype, Facebook Messenger e outras apps de mensagens.
Os investigadores da Avast adiantaram ainda que não têm sido notados updates regulares desde janeiro no malware, o que poderá indicar que um ataque in-the-wild poderá estar em andamento.
Vale a pena notar que o Rietspoof foi descoberta pela Avast durante o verão de 2018. No entanto, ele está agora a circular numa versão mais otimizada e muitos criminosos a estão a usá-lo para atacar os mais descuidados.
Para descarregar o ransomware, o malware precisa estabelecer uma ligação com o servidor C & C. O servidor implementa uma geofence, que é estabelecida no endereço IP do dispositivo infectado.
Durante a sua execução, o malware usa diferentes formatos de ficheiros para infectar a dispositivo target.
O malware pode ser disseminado via Facebook Messenger, Skype ou plataformas semelhantes de mensagens.
Mais tarde, ele utiliza um “highly obfuscated visual basic script” que possui um ficheiro CAB cifrado e ofuscado.
Este ficheiro pode ser utilizado para instalar o downloader. Depois disso, o Rietspoof é instalado.
O malware não é muito avançado, ele apenas possuí recursos para ler e gravar ficheiros, iniciar novos processos e, se detetar algum tipo de comportamento de análise de malware, têm a capacidade de se autodestruir.
Os investigadores da Avast não conseguiram identificar os criminosos por trás da malware ou seus potenciais alvos, mas explicaram que os ficheiros infetados não são detetados ou ignorados pela maioria dos motores de AV.
Os investigadores testaram muitas amostras e identificaram que existem variações nos protocolos de comunicação. Em particular, seis comandos são enviados pelo servidor C&C para o malware.
Todos aqueles que receberem endereços ou ficheiros estranhos via mensagens de chat deverão estar atentos e evitar clicar e descarregar a ameça. Isso também deve ser de imediato reportado ao provedor do serviço de forma a mitigar este tipo de problemas.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.