Un nuovo malware “multistadio” sta prendendo di mira le conversazioni su Facebook Messenger e Skype. Identificato e analizzato dai ricercatori di Avast, il programma maligno Rietspoof è in grado di iniettare nei sistemi colpiti diversi payload concatenati fra loro. Ogni singolo componente del malware svolge ruoli specifici: una prima parte del codice è uno script in Visul Basic che, a seconda degli ordini ricevuti dal server command and control, si incarica di scaricare o caricare file da e su Internet, di avviare processi e di autodistruggersi al termine; un altro elemento, invece, è il downloader vero e proprio che porta nel cuore della macchina il payload più pericoloso. Rietspoof, spiegano i ricercatori di Avast, era già stato scoperto ad agosto 2018, ma è stato ignorato per diverso tempo fino a un improvviso picco di distribuzione registrato lo scorso gennaio.
Il programma maligno guadagna persistenza nei sistemi infetti collocando un file .lnk (scorciatoia) nella cartella Startup di Windows: un’operazione che verrebbe normalmente evidenziata dagli antivirus, se non fosse che Rietspoof è firmato con certificati legittimi (soprattutto della certificate authority Comodo) che gli permettono di aggirare senza problemi i controlli, anche se il suo fine ultimo non è chiaro.
Secondo Avast il malware è ancora in piena fase di sviluppo, perché gli esperti di cybersicurezza hanno identificato dei campioni leggermente diversi tra loro e protocolli di comunicazione command and control modificati. “Non possiamo confermare di essere riusciti a scoprire tutta la catena di infezione”, si legge in un blog post dell’azienda. “Il malware presenta funzionalità di bot, ma è stato concepito soprattutto come un dropper. Inoltre, la bassa diffusione e l’utilizzo di tecniche di geofencing apre altre strade inesplorate. Potremmo aver mancato campioni distribuiti solo verso una gamma specifica di indirizzi Ip”.