Un nouveau cheval de Troie voleurs d'information baptisée Rombertik a été repéré par des chercheurs de Cisco. La menace peut lire et enregistrer toutes les données saisies par l'utilisateur dans le navigateur Web dans le texte brut. Ce qui rend le cheval de Troie est la peine d'écrire au sujet de son comportement agressif si elle détecte que quelqu'un tente d'examiner.
Comment peut-Rombertik fonctionner?
Les chercheurs décrivent Rombertik comme des logiciels malveillants sophistiqués similaire à la Banque animaux de Troie. Rombertik a la capacité de recueillir des informations sensibles (par exemple les informations de connexion) à partir du navigateur de la victime et l'envoyer à un serveur distant. La différence entre les deux menaces est que Rombertik cible les données de toutes les pages web visitées par l'utilisateur.
Dans le cas au cours des dernières étapes du processus d'installation, le cheval de Troie détecter toute tentative à analyser, il abandonne son but initial et commence à détruire le disque dur de la victime en réécrivant le Master Boot Record.
experts Cisco expliquent que dès le début le cheval de Troie « intègre plusieurs couches de obscurcissement ainsi que la fonctionnalité anti-analyse. »
la version décompressée de Rombertik est 28KB et emballé un - 1264KB. Ce dernier contient de nombreuses fonctions qui restent inutilisés. Les analystes estiment que leur but est de perdre le temps du chercheur afin d'analyser chacun d'eux séparément.
En premier, Rombertik écrit un octet d'information aléatoire à la mémoire 960 million de fois afin d'éviter le traçage des outils et des bacs à sable. Dès que le logiciel malveillant ne remplit toutes les tâches malveillantes, sandboxes ne sont pas déclenchées, et les outils d'analyse sont trop occupés avec le traitement des instructions d'écriture.
Avant le cheval de Troie se décompresse, il vérifie une dernière fois la présence d'outils d'analyse. Il est la dernière partie, juste avant la menace est lancée, qui est la vraie question.
Final Touch de Rombertik - La fonction Anti-analyse
Voici comment les chercheurs de Cisco expliquent la fonction finale du cheval de Troie:
“La fonction calcule un hachage de 32 bits d'une ressource dans la mémoire et la compare à la PE Compile Horodatage de l'échantillon non emballé. Si la ressource ou la compilation a été modifié, les actes malveillants destructivement. Il tente d'abord de remplacer le Master Boot Record (MBR) de PhysicalDisk0, ce qui rend l'ordinateur inutilisable.”
Dans le cas Rombertik ne peut pas écraser le MBR, la menace commence à détruire les fichiers dans le dossier de la maison de la victime. Rombertik encrypte chacun des fichiers avec une clé RC4 qui est généré de façon aléatoire.
Dès que tous les fichiers sont cryptés ou le MBR est écrasé, la machine compromise est redémarré.
Ensuite, la machine est pris dans une boucle sans fin qui empêche toute tentative de démarrer le système. La victime est laissé sans autre choix que de réinstaller le système d'exploitation.
Au moment de cette écriture, Rombertik est distribué sur le PC ciblé comme un fichier ZIP attaché à un message e-mail de spam prétendant avoir été envoyé par le “Windows Corporation ».
Le fichier ZIP, déguisé en fichier PDF, contient un fichier exécutable lorsque le Rombertik est caché.
Les utilisateurs sont invités à garder leur solution de sécurité à jour et de ne jamais ouvrir des emails ou télécharger des pièces jointes aux messages envoyés à partir de sources inconnues.