Σε μια έκθεση που δημοσιεύθηκε το Σάββατο (16 Φεβρουαρίου), οι ερευνητές περιέγραψαν ένα νέο malware, τo οποίo χαρακτήρισαν ως «κακόβουλο λογισμικό πολλαπλών σταδίων», που εντοπίστηκε για πρώτη φορά τον Αύγουστο του 2018, αλλά εκείνη την εποχή αγνοήθηκε σε μεγάλο βαθμό, λόγω της σπάνιας δραστηριότητάς του.
Όταν η ομάδα των ερευνητών άρχισε να παρακολουθεί το κακόβουλο λογισμικό, ενημερωνόταν μόνο μία φορά το μήνα. Ωστόσο, από τον Ιανουάριο του 2019, η εταιρεία είδε μια αξιοσημείωτη αύξηση στον αριθμό των φορών που το malware ενημερωνόταν.
Σύμφωνα με την Avast, το κακόβουλο λογισμικό εξαπλώνεται τώρα σε καθημερινή βάση.
Rietspoof malware
Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Το Rietspoof έχει τη δυνατότητα να μολύνει τα θύματα, να αποκτά πρόσβαση στους μολυσμένους ξενιστές και στη συνέχεια να κάνει λήψη άλλων στελεχών κακόβουλου λογισμικού, ανάλογα με τις εντολές που λαμβάνει από έναν command & control (C&C) server.
Η πρόσβαση αποκτάται τοποθετώντας ένα αρχείο LNK στο φάκελο Windows / Startup. “Αυτό το αρχείο τρέχει ένα εκτεταμένο αρχείο PE μετά την εκκίνηση, για να εξασφαλίσει ότι το εκτελέσιμο αρχείο θα τρέξει αν το μηχάνημα επανεκκινηθεί”, δήλωσε η Avast.
Πρόκειται για μια λειτουργία που δεν περνά απαρατήρητη, καθώς τα περισσότερα προϊόντα προστασίας από ιούς, παρακολουθούν αυτόν τον τύπο φακέλου, αλλά η Avast λέει ότι το Rietspoof φαίνεται να έχει νόμιμα πιστοποιητικά, που του επιτρέπουν να παρακάμπτει τους ελέγχους ασφάλειας.
Το malware έχει τέσσερα διαφορετικά στάδια
Η διαδικασία προσβολής μιας συσκευής, αποτελείται από τέσσερα διαφορετικά στάδια. Το πραγματικό κακόβουλο λογισμικό εισέρχεται στο τρίτο στάδιο, με το τελευταίο και τελικό στάδιο να προορίζεται για τη λήψη ενός πιο δυσάρεστου και αποτελεσματικού malware.
“Παρατηρήσαμε ότι η ανάπτυξη αυτού του τρίτου σταδίου εξελίσσεται ταχέως, μερικές φορές τρέχοντας δύο διαφορετικούς κλάδους ταυτόχρονα. Κατά την ανάλυσή μας, το πρωτόκολλο επικοινωνίας τροποποιήθηκε πολλές φορές και προστέθηκαν νέα χαρακτηριστικά”, δήλωσε η Avast.
Η Avast περιέγραψε το Rietspoof malware ως “dropper” ή “downloader”, το οποίο λειτουργεί παρόμοια με ένα Trojan και εγκαθιστά κι άλλα στελέχη malware.
Όταν είναι μόνο του, αυτό το χαρακτηριστικό είναι περιορισμένο, σύμφωνα με τους ερευνητές ασφαλείας. Μπορεί να κατεβάσει, να εκτελέσει, να ανεβάσει και να διαγράψει αρχεία και σε περίπτωση έκτακτης ανάγκης, μπορεί επίσης να διαγραφεί.
Η Avast υποστηρίζει ότι είναι πιθανό να υπάρχουν περισσότερα στάδια μόλυνσης, που δεν έχουν ανακαλυφθεί ακόμα.