نرم‌افزار مخرب Rietspoof یک خانواده بدافزاری جدید است که از سیستم انتقال چندمرحله‌ای استفاده می‌کند و به گونه‌ای طراحی‌ شده تا چندین payload را در سیستم‌هایی که آلوده می‌کند، بارگذاری کند.

به گزارش دیپروتد، به نقل از وب‌سایت BleepingComputer، اولین مشاهده این بدافزار، در تابستان ۲۰۱۸ بوده است. این بدافزار از چندین مرحله برای نفوذ به اهداف خود استفاده می‌کند. هر یک از این مراحل قابلیت‌های بخصوصی دارند، یکی از آن‌ها نوعی بات است که قابلیت دانلود/آپلود فایل‌ها، آغاز فرآیندهای پردازشی و یا اجرای تابع خود‌تخریب را دارد و دیگری مانند یک دانلودکننده معمولی عمل می‌کند. همچنین، در حالی که بدافزار بصورت ماهانه در ابتدا بروزرسانی می‌شد، از ژانویه ۲۰۱۹، سرعت توسعه آن افزایش یافته و بصورت روزانه تکامل یافته است.

داده‌ها نشان می‌دهند که مرحله اول حمله توسط سرویس‌گیرنده‌های پیام‌رسان‌ها، مانند Skype یا Messenger، منتقل می‌شود. از طریق پیام، یک اسکریپت Visual Basic مبهم‌سازی شده با ابزار مرحله دوم یعنی یک فایل CAB رمزگذاری شده منتقل می‌شود. فایل CAB به یک فایل اجرایی گسترش می‌یابد که در ادامه این فایل اجرایی در مرحله ۴ یک دانلودکننده نصب می‌کند.

با این حال، قبل از رسیدن به مرحله سوم و چهارم،Rietspoof  با اضافه کردن WindowsUpdate.lnk  به پوشه راه‌اندازی ویندوز که پس از هر بار راه‌اندازی مجدد، یک باینری Portable Executable یا فایل اجرایی قابل حمل گسترده را اجرا می‌کند، از حضور دائمی خود در سیستم اطمینان حاصل ‌می‌کند .

در مرحله سوم Rietspoof، بات‌هایی بارگذاری می‌شوند که توسط سازندگان بدافزار برای شروع پردازش‌ها در دستگاه‌های آسیب‌دیده، دانلود و آپلود فایل‌ها و ارسال فرمان خود تخریب استفاده می‌شود. در حالی که خود payload بات‌ها از قابلیت‌های غیرعادی برخوردار نیست، سرور فرمان و کنترلی (C&C) که به آن وصل می‌شود دارای ویژگی‌های غیرمعمول است. به عنوان مثال، سرور C&C قابلیت تعیین محدوده جغرافیایی (Geofencing) پایه بر اساس آدرس IP را دارد.

مرحله چهارم و آخرین مرحله به عنوان یک دانلودکننده بدافزار عمل‌ خواهد کرد و تلاش خواهد کرد یک کانال معتبر از طریق پروتکل NTLM روی TCP با سرور C&C خود، ایجاد کند. پس از آنكه دانلودکننده موفق به برقراري ارتباط با سرور C&C مي‌شود، سعي مي‌كند آخرين payload يا يك مرحله ديگر بدافزار را دریافت‌کند.

هنوز هدف اصلی، قربانیان و زنجیره آلودگی دقیق Rietspoof، شناسایی نشده است، اما عاملان تهدید پشت این بدافزار، در حال افزایش سرعت توسعه و گسترش آن و افزودن ویژگی‌های جدید و بروزرسانی و بهبود هر یک از ویژگی‌های موجود هستند.

منبع :