New York – Si chiama Rietspoof il nuovo malware “multistadio” che sta prendendo di mira le conversazioni su Facebook Messenger e Skype. Ad identificarlo i ricercatori di Avast, che hanno anche scoperto che il malware è in grado di iniettare nei sistemi colpiti diversi payload concatenati fra loro. Ogni singolo componente del malware svolge ruoli specifici: una prima parte del codice è uno script in Visul Basic che, a seconda degli ordini ricevuti dal server command and control, si incarica di scaricare o caricare file da e su Internet, di avviare processi e di autodistruggersi al termine; un altro elemento, invece, è il downloader vero e proprio che porta nel cuore della macchina il payload più pericoloso. Rietspoof, spiegano i ricercatori di Avast, era già stato scoperto ad agosto 2018, ma è stato ignorato per diverso tempo fino a un improvviso picco di distribuzione registrato lo scorso gennaio. Il programma maligno guadagna persistenza nei sistemi infetti collocando un file .lnk (scorciatoia) nella cartella Startup di Windows: un’operazione che verrebbe normalmente evidenziata dagli antivirus, se non fosse che Rietspoof è firmato con certificati legittimi (soprattutto della certificate authority Comodo) che gli permettono di aggirare senza problemi i controlli, anche se il suo fine ultimo non è chiaro. Stando agli esperti di Avast il malware sarebbe ancora in piena fase di sviluppo.