Malware Rietspoof se espalha via Messenger Live e Facebook Messenger

Pesquisadores de segurança da Avast descobriram uma nova cepa de malware chamada Rietspoof que atualmente está sendo disseminada para as vítimas por meio de clientes de mensagens instantâneas, como o Messenger Live e Facebook Messenger.

Em um relatório publicado no fim de semana, os pesquisadores descreveram essa nova ameaça como um “malware de múltiplos estágios”, que foi descoberto pela primeira vez em agosto de 2018, mas que foi amplamente ignorado até um notável aumento nos esforços de distribuição no mês passado.

O principal papel de Rietspoof é infectar vítimas, ganhar persistência em hosts infectados e, em seguida, baixar outras cepas de malware – dependendo das ordens que recebe de um servidor central de comando e controle (C & C).

A persistência é obtida pelo malware, colocando um arquivo LNK (atalho) na pasta Windows / Startup. Esta é uma operação barulhenta porque a maioria dos produtos antivírus sabe que deve ficar de olho nesta pasta, mas a Avast afirma que a Rietspoof também está assinada com certificados legítimos, permitindo que o malware contorne as verificações de segurança.

A rotina de infecção é composta de quatro fases diferentes – descritas em maior detalhe no artigo do Avast aqui . O malware atual do Rietspoof é descartado no terceiro estágio, com o último estágio sendo reservado para o download de um tipo de malware mais intrusivo e potente.

Rietspoof é o que os pesquisadores de segurança chamam de “dropper” ou “downloader”, uma cepa de malware projetada com o único propósito de infectar as vítimas com “algo mais forte”.

Por causa disso, sua funcionalidade também é muito limitada. Ele pode baixar, executar, fazer upload e excluir arquivos e, em caso de emergências, também pode excluir a si mesmo. No entanto, estes são mais do que suficientes para a Rietspoof fazer o seu trabalho.

A Avast diz que, desde que começou a investigar essa nova ameaça, o malware mudou seu protocolo de comunicação C & C e passou por outras modificações menores, o que fez com que os pesquisadores acreditassem que ainda está em desenvolvimento ativo.

“Nossa pesquisa ainda não pode confirmar se descobrimos toda a cadeia de infecção”, disseram pesquisadores no sábado.

O Rietspoof é o segundo “malware dropper / downloader” que foi visto em atividade nos últimos meses. O outro é chamado Vidar, uma variedade de malware que tem ajudado várias gangues criminosas a distribuir ransomware e ladrões de senhas . Uma análise do malware Vidar está disponível aqui .

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.