Специалисты компании Avast обнаружили дроппера Rietspoof, распространяющегося через Facebook Messenger и Skype. Исследователи пишут, что «присматривают» Rietspoof с лета 2018 года, и в январе текущего года активность дроппера значительно увеличилась.
Rietspoof обладает многоступенчатой системой загрузки, и в настоящее время специалистам известно очень мало о целях операторов вредоноса. С точностью можно сказать лишь одно: Rietspoof – классический дроппер или загрузчик, чьей основной задачей является заражение скомпрометированных систем другой малварью (в зависимости от команд, полученных с управляющего сервера).
Как было сказано выше, первая стадия заражения происходят через мессенджеры Facebook Messenger и Skype. Таким способом злоумышленники распространяют обфусцированный VBS (Visual Basic Script) с жестко закодированным и зашифрованным файлом CAB, выполняющим вторую стадию заражения. Файл CAB сохраняется на зараженной машине как JSWdhndk.sjk, после чего из него извлекается исполняемый файл expand.exe (чаще всего подписанный легитимным сертификатом Comodo), ответственный за последнюю, четвертую стадию заражения.
Чтобы добиться устойчивого присутствия в системе, малварь помещает в директорию /Startup специальный файл LNK (WindowsUpdate.lnk), причем такая функциональность появилась у вредоноса лишь недавно, в конце января 2019 года. Хотя в обычных обстоятельствах такие действия вызывают подозрения у антивирусных решений, Rietspoof использует легитимные сертификаты, чем «усыпляет бдительность» защитных продуктов.
Исследователи отмечают, что в настоящее время Rietspoof демонстрирует функциональность классического дроппера (может загружать, исполнять, предавать и удалять файлы, а также самого себя, в случае необходимости). Эксперты полагают, что малварь еще находятся в стадии разработки, так как за время наблюдений операторы Rietspoof успели сменить протокол связи с управляющим сервером (сейчас устанавливается аутентифицированный канал NTLM через TCP), а также постоянно внося в код мелкие и не очень улучшения, которые появляются почти каждый день.
Так как экспертам не удалось проследить за всей цепочкой передачи «инфекции», пока неясно, какие именно пейлоады распространяются с помощью Rietspoof и кто является основной целью злоумышленников.
Вернуться в раздел: Новости