Posté le février 20, 2019 à 20:00
LE LOGICIEL MALVEILLANT RIETSPOOF SE PROPAGE PAR LE BIAIS DE CÉLÈBRES APPLICATIONS DE MESSAGERIE INSTANTANÉE
Les chercheurs d’Avast ont récemment découvert qu’un logiciel malveillant nommé » Rietspoof » utilise Facebook Messenger et Skype pour infecter les ordinateurs hôtes. Les applications de messagerie instantanée populaires sont utilisées pour répandre les « logiciels malveillants multi-étapes ». Ces nouvelles informations ont été mises en lumière par un récent rapport publié par Avast.
Cette nouvelle menace a été détectée en août 2018 mais a été largement ignorée par Facebook et Skype avant que les utilisateurs ne signalent une augmentation soudaine des attaques de logiciels malveillants. Rietspoof fonctionne en entrant d’abord dans l’ordinateur hôte via Facebook messenger ou Skype, puis en persistant sur l’ordinateur infecté, après quoi il commence à télécharger d’autres logiciels malveillants sur l’ordinateur hôte. Le téléchargement de nouveaux logiciels malveillants dépend des instructions d’un serveur central de commande et de régulation (C&C).
Comment Rietspoof gagne en persistance
Rietspoof parvient à une persistance sur un ordinateur hôte en plaçant le fichier LNK (raccourci) dans le dossier Windows/Startup. Il s’agit d’une opération risquée pour tout logiciel malveillant car la plupart des programmes antivirus le savent et surveillent de près ce dossier. Mais Rietspoof parvient à contourner les programmes anti-virus puisqu’il parvient à leur paraître authentique car il a signé des certificats légitimes, échappant ainsi aux contrôles de sécurité. Avast explique plus en détail le fonctionnement de Rietspoof dans ce rapport.
La procédure d’infection de Rietspoof se déroule en 4 étapes, et la troisième étape étant celle où Rietspoof est déposé sur l’ordinateur hôte. La dernière étape est la plus mortelle car c’est là qu’un autre logiciel malveillant plus puissant est téléchargé sur l’ordinateur hôte.
Selon les recherches, Rietspoof est qualifié de « compte-gouttes » ou de « téléchargeur », qui est une sorte de souche de logiciel malveillant qui a la seule intention d’attaquer l’ordinateur hôte en téléchargeant une souche de logiciel malveillant plus dévastatrice.
En raison de ses intentions, la fonctionnalité de Rietspoof est très limitée. Il ne peut télécharger, charger, exécuter et supprimer des fichiers qu’à l’intérieur de l’ordinateur hôte. Dans de rares cas, ce logiciel malveillant est également connu pour s’effacer lui-même. Même s’il jouit de capacités limitées, il est plus que suffisant pour faire des ravages à l’intérieur de l’ordinateur hôte.
Depuis qu’Avast a commencé à traquer ce logiciel malveillant, le protocole de commande et de contrôle a changé et le logiciel malveillant a subi quelques modifications sur son fonctionnement, ce qui laisse entendre que Rietspoof est peut-être encore dans sa phase de développement.
Les chercheurs ont déclaré samedi qu’ils n’étaient pas encore tout à fait certains de l’endroit où se trouve toute la chaîne d’infection de Rietspoof et qu’ils auront besoin de plus de temps pour découvrir l’étendue réelle des dommages causés par ce logiciel malveillant jusqu’à maintenant.
Ce n’est pas la première fois en 2019 que les logiciels malveillants font leur apparition dans le monde des actualités. Un autre type de logiciel malveillant de type « compte-gouttes / téléchargeur » a infecté des ordinateurs dans le monde entier au cours des derniers mois. Ce logiciel malveillant s’appelle Vidar, un nouveau type de souche de logiciel malveillant qui aide divers syndicats criminels à distribuer des voleurs de mots de passe et des ransomware (logiciel malveillant qui prend en otage des données personnelles). Les chercheurs pensent que Rietspoof aurait pu cacher des étapes dans son fonctionnement qui ne se sont peut-être pas encore révélées.
