Rietspoof عنوان خانواده بدافزاری جدیدی است که در چندمرحلهای فایلها و کدهای مخرب مورد نظر مهاجمان را بر روی سیستمهای آلوده شده به خود به اجرا در میآورد.
بر اساس گزارشی که شرکت ضدویرس اوست آن را منتشر کرده است نخستین نسخه از Rietspoof در تابستان امسال شناسایی شد. از آن زمان تا کنون نسخههای متعددی از این بدافزار عرضه شده است.
عملکرد بدافزار بر روی اهداف مختلف متفاوت گزارش شده است. بهنحوی که برخی از آنها در عملکرد باتگونه قادر به دریافت / ارسال فایل، اجرای یک پروسه یا فراخوانی تابع موسوم به خودکشی (Self-destruct) هستند و برخی دیگر صرفا یک دریافتکننده (Downloader) معمول فایل هستند.
همچنین در حالی که تا روزهای ابتدایی سال میلادی جاری، بازه انتشار نسخههای جدید بدافزار توسط مهاجمان ماهانه بوده، اکنون مدتی است که این دوره زمانی به روزانه کاهش یافته است.
روش انتشار این بدافزار، برنامههای پیامرسان فوری نظیر Skype و Messenger گزارش شده است.
اجراکننده اصلی بدافزار فایلی مبتنی بر Visual Basic Script است که بهشدت مبهمسازی شده است. از فایل مذکور، فایلی CAB قابل استخراج است که اجرای مرحله دوم بدافزار را بر عهده دارد. این فایل CAB در ادامه به فایلی اجرایی با امضایی معتبر تبدیل میشود. در آخرین مرحله نیز یک دریافتکننده توسط این فایل اجرایی بر روی دستگاه قربانی نصب میشود.
به گزارش شرکت مهندسی شبکه گستر، وظیفه دریافتکننده همان طور که از نام آن پیداست دریافت و اجرای کدهای مخرب و بدافزارهای بیشتر بر روی دستگاه قربانی است.
Rietspoof برای برقراری ارتباط با سرور فرماندهی (Command & Control) خود که نشانی IP آن در کد بدافزار آمده است از پودمان TCP بهره میگیرد. این ارتباطات در حالت CBC با استفاده از الگوریتم AES رمزگذاری میشوند. به نظر میرسد که سرور فرماندهی بر اساس نشانی IP دستگاه قربانی، فرامین متفاوتی را به بدافزار ارسال میکند. برای مثال، محققان اوست اعلام کردهاند در حالی که در زمان بررسی اولیه، بدافزار هیج بهروزرسانی خاصی را از سرور فرماندهی دریافت نمیکرد پس از تغییر نشانی IP آن به یک نشانی تحت محدوده کشور آمریکا عملکرد آن کاملا متفاوت شد.
نسخههای جدید این بدافزار برای ماندگار کردن خود بر روی دستگاه قربانی فایلی با نام فریبنده WindowsUpdate.lnk در پوشه Startup کپی میکنند. این فایل lnk به فایل اجرایی بدافزار اشاره کرده و عملا این مکانیزم منجر به اجرای بدافزار با هر بار راهاندازی شدن دستگاه میشود.
مشروح گزارش شرکت اوست در لینک زیر قابل دریافت و مطالعه است: