I ricercatori di Avast hanno scoperto un malware che si diffonde utilizzando client di messaggistica come Skype o Facebook Messenger. Gli esperti ne hanno dato l’allarme il 16 febbraio, pubblicando un report nel quale spiegano di aver monitorato la diffusione di quest’arma digitale fin da agosto del 2018. Ad allarmarli è stata la scoperta che, se prima il malware riceveva occasionali aggiornamenti, ora viene migliorato a cadenza quotidiana, rilevando un particolare impegno da parte dei criminali informatici che lo hanno creato.
Rietspoof – questo il nome del malware – è in realtà una famiglia di strumenti di attacco che si avvale di quattro fasi di infezione. Con dei file nascosti uno dentro l’altro, come una matrioska, è capace di aggirare il controllo degli antivirus meno aggiornati per stabilire una connessione tra il dispositivo infetto e la «sala comandi centrale» degli attaccanti. Questo viene poi utilizzato come cavallo di Troia (in gergo è chiamato “dropper”) per installare sul computer della vittima qualsiasi tipo di strumento aggiuntivo. In parole povere, una volta che Rietspoof ha completato i suoi quattro stadi di infezione, l’attaccante lo può usare come porta per eseguire ulteriori comandi sul dispositivo colpito, ricorrendo a un arsenale di software capaci di raccogliere dati e password, attivare da remoto una webcam o addirittura registrare ciò che avviene sul monitor.
Una particolare capacità di Rietspoof, riscontrata dai tecnici di Avast, è che si installa nella cartella che gestisce i programmi di avvio per Windows, utilizzando dei certificati che lo fanno apparire come legittimo agli occhi degli antivirus.
Secondo i ricercatori, dal momento che è in continuo aggiornamento e che ha già ricevuto miglioramenti nella parte che gestisce la comunicazione con la sala comandi dei criminali informatici, Rietspoof potrebbe avere capacità non ancora scoperte.
Raffaele Angius, La Stampa