Rietspoof: il trojan spia che si diffonde tramite Facebook Messenger e Skype.

L’allerta viene dai ricercatori di Avast, che stanno studiando questo malware già dall’Agosto 2018, periodo nel quale sono avvenute le prime individuazioni. I ricercatori non ne avevano però ancora dato notizia sia perchè, almeno fino al picco del Gennaio 2019, dimostrava scarsissima diffusione, sia perchè la particolare struttura di questo trojan ne rende molto difficile l’analisi e quindi la comprensione del reale potenziale di rischio: parliamo infatti di un malware composto da una serie di strumenti che agiscono in fasi diverse, determinando una complessa struttura definita “a Matrioska”.  In parole semplici, Rietspoof è composto da payload diversi, concatenati tra loro e che svolgono, ognuno, specifici compiti in stadi diversi dell’infezione.
Che cosa fa?

E’ un malware spia con funzionalità di bot: invia al server di comando e controllo informazioni sul sistema operativo, gli utenti e i privilegi di amministrazione, le credenziali, ma può anche spiare tutto ciò che avviene sul monitor della vittima e può rubare file salvati sul computer infetto.

Il vettore d’infezione
Il vettore d’infezione è un documento di Microsoft Word contenente una macro da abilitare: la macro contiene un file VBS (vedi più avanti). Il documento funge, insomma, da dropper. In prima battuta, questo .doc mostra il logo di Office e una serie di istruzioni che indicano alla vittima come abilitare la macro.
Una volta abilitata la macro,  tutte le informazioni protette sul documento vengono cancellate e viene mostrato un titolo “Emergency Exit Map”.  Immediatamente dopo viene deoffucasto e salvato sulla macchina il file VBS, quindi eseguito con wscript.exe.
La catena di infezione
Rietspoof è un malware multi-stage per pc composto da un combinato di formati diversi di file: un malware molto versatile quindi.  Il primo stadio è la distribuzione, tramite client di messaggistica come Skype o Messenger, del documento Microsoft Office compromesso. Diffonde un file VBS (Virtual Basic Script) altamente offuscato, all’interno del quale si trova il file di secondo stadio: un file CAB criptato. Decriptato e decompresso il file CAB si ottiene un eseguibile che è firmato con un certificato valido (elemento che rende molto difficile per le soluzioni di sicurezza l’individuazione di questo .exe dannoso). Questo eseguibile è responsabile dell’installazione di un downloader nello stadio 4.
Quel che è interessante notare è che, nel terzo stadio, viene usato un semplice protocollo TCP per comunicare col server di comando e controllo del malware, server il cui IP è inserito direttamente nel codice del binario. Il protocollo è criptato con l’algoritmo AES. In questo stadio vengono eseguite funzionalità tipiche di un semplice bot: scaricare/caricare file, avviare processi, avviare la funzione di auto-distruzione.
Rietspoof è persistente: si riavvia a ogni riavvio del sistema
A partire dal 22 Gennaio 2019 Rietspoof è stato implementato con una nuova funzione, contenuta in una nuova versione del file VBS, che gli garantisce la persistenza sul sistema. Lo script crea un nuovo file LNK, chiamato WindowsUpdate.lnk, nello startup. Questo file lnk esegue un file PE subito dopo lo startup di sistema per garantire che l’eseguibile venga avviato se la macchina viene riavviata. Anche questa è una misura anti-individuazione, dato che Rietspoof così viene installato nella cartella dei software di avvio di Windows.
Le firme digitali valide
Praticamente, ogni versione del file VBS contiene un nuovo certificato e, questo è un dato allarmante, questi certificati sono validi.  Per i ricercatori è stato sufficiente deoffuscare una parte del codice per trovare i numeri seriali dei certificati, la maggior parte dei quali è emessa da COMODO o Sectigo.
.