Rietspoof – questo il nome del malware – è in realtà una famiglia di strumenti di attacco che si avvale di quattro fasi di infezione. Con dei file nascosti uno dentro l’altro, come una matrioska, è capace di aggirare il controllo degli antivirus meno aggiornati per stabilire una connessione tra il dispositivo infetto e la «sala comandi centrale» degli attaccanti. Questo viene poi utilizzato come cavallo di Troia (in gergo è chiamato “dropper”) per installare sul computer della vittima qualsiasi tipo di strumento aggiuntivo. In parole povere, una volta che Rietspoof ha completato i suoi quattro stadi di infezione, l’attaccante lo può usare come porta per eseguire ulteriori comandi sul dispositivo colpito, ricorrendo a un arsenale di software capaci di raccogliere dati e password, attivare da remoto una webcam o addirittura registrare ciò che avviene sul monitor.
Una particolare capacità di Rietspoof, riscontrata dai tecnici di Avast, è che si installa nella cartella che gestisce i programmi di avvio per Windows, utilizzando dei certificati che lo fanno apparire come legittimo agli occhi degli antivirus.
Secondo i ricercatori, dal momento che è in continuo aggiornamento e che ha già ricevuto miglioramenti nella parte che gestisce la comunicazione con la sala comandi dei criminali informatici, Rietspoof potrebbe avere capacità non ancora scoperte.
Raffaele Angius, La Stampa