تحذير! اكتشاف برمجية خبيثة بأسم ريتسبووف Rietspoof تنتشر عبر الفيسبوك ماسنجر Facebook Messenger ورسائل على السكايب Skype


اكتشف باحثو الامن السيبراني من  شركة افاست  Avast سلالة جديدة من البرمجيات الخبيثة  malware  تم تسميتها ريتسبووف  Rietspoof والتي يتم نشرها حاليًا على الضحايا عبر برامج المراسلة الفورية مثل الفيسبوك ماسنجرFacebook Messenger  والسكايب Skype.

في تقرير نشر قبل ايام ، وصف الباحثون هذا التهديد الجديد بأنه “برمجية خبيثة متعددة المراحل” ، تم رصدها لأول مرة في أغسطس 2018 ، ولكن تم تجاهلها إلى حد كبير حتى حدوث زيادة ملحوظة في جهود توزيعها في الشهر الماضي.

يتمثل الدور الرئيسي لريتسبووف  في إصابة الضحية ، و اكتساب الديمومة Persistence والاستمرارية على الاجهزة المصابة، ثم تنزيل سلالات أخرى من البرمجيات الخبيثة معتمدة على الأوامر التي تتلقاها من الخادم المركزي للتحكم والقيادة  command & control (C&C) server.

ديمومة هذه البرمجية الخبيثة تتم عن طريق وضع رابط اختصار ملف بأمتداد LNK في مجلد بدء التشغيل في ويندوز  Windows/startup و هذه العملية سيتم ملاحظتها لأن معظم منتجات مكافحة الفيروسات تعرف كيف تراقب هذا المجلد ، لكن افاست تقول أن ريتسبووف موقّع بوساطة شهادات رقمية حقيقية ، مما يسمح للبرمجية الخبيثة بتجاوز عمليات الفحص الأمني.

يتكون روتين الاصابة من أربع مراحل مختلف, و يتم إسقاط البرمجية الخبيثة ريتسبووف الفعلية في المرحلة الثالثة ، مع الاحتفاظ بالمرحلة الرابعة و الأخيرة لتنزيل سلالة من البرمجيات الخبيثة أكثر تطفلاً وفعالية.

ريتسبووف هو ما يسميه الباحثون الأمنيون “قطارة Dropper ” أو “أداة تنزيل Downloader” ، وهي عبارة عن سلالة من البرمجيات الخبيثة مصممة لغرض وحيد هو إصابة الضحايا بـ “شيء أقوى”.

وبسبب هذا ، فإن وظيفتها محدودة للغاية أيضًا. وحيث بأمكانها تنزيل الملفات وتنفيذها ورفعها وحذفها ، وفي حالات الطوارئ ، يمكنها أيضًا حذف نفسها.  ومع ذلك ، هذه الامكانيات أكثر من كافية لريتسبووف لتقوم بعملها.

تقول شركة أفاست أنه منذ أن بدأ النظر في هذا التهديد الجديد ، غيرت البرمجية الخبيثة بروتوكول الاتصال الخاص بالتحكم والقيادة C & C ، وحدثت تعديلات أخرى أصغر ، مما جعل الباحثين يعتقدون أن هذه البرمجية الخبيثة لا تزال قيد التطوير النشط.

وقال الباحثون : “ما زال بحثنا لا يستطيع تأكيد ما اذا كنا كشفنا عن سلسلة الاصابة بأكملها.”

ريتسبووف هو ثاني “برمجية خبيثة من نوع القطارة او اداة التنزيل” تم مشاهدتها تزدادا انتعاشاً في النشاط في الأشهر القليلة الماضية. البرمجية الاخرى تدعى فيدارVidar ، وهي سلالة برمجيات خبيثة كانت تقوم بمساعدة مختلف العصابات الإجرامية برمجيات خبيثة من نوع برامج الفدية ( الرانسوم وير  Ransomware)  و برامج سرقة كلمات المرور password stealers .

 

 

 

 

المصدر:

https://www.zdnet.com/article/rietspoof-malware-spreads-via-facebook-messenger-and-skype-spam/

 

 

 

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

للتعليقات

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

CyberArabs عضو في:

للتبليغ

سجل في نشرتنا الشهرية

%d مدونون معجبون بهذه: