Een nieuwe informatie te stelen Trojan genaamd Rombertik is gespot door onderzoekers van Cisco. De dreiging kan lezen en alle gegevens getypt door de gebruiker in de webbrowser in platte tekst op te nemen. Wat maakt de Trojan waard schrijven over is zijn agressieve gedrag indien zij ontdekt dat iemand probeert om het te onderzoeken.
Hoe werkt Rombertik Operate?
De onderzoekers beschrijven Rombertik als een geavanceerde malware vergelijkbaar met de Animal Banking Trojan. Rombertik heeft de mogelijkheid om gevoelige informatie te verzamelen (bijvoorbeeld inloggegevens) vanuit de browser van het slachtoffer en stuur het naar een externe server. Het verschil tussen de twee bedreigingen is dat Rombertik richt zich op gegevens van alle webpagina's bezocht door de gebruiker.
In het geval dat gedurende de laatste stappen van het installatieproces, de Trojan te detecteren elke poging om te analyseren, zakt het oorspronkelijke doel en begint met het vernietigen van de harde schijf van het slachtoffer door het overschrijven van de Master Boot Record.
Cisco experts uit te leggen dat vanaf het allereerste begin van de Trojan “bevat verschillende lagen van verduistering, samen met anti-analyse functionaliteit.”
uitgepakte versie Rombertik is 28KB en de verpakte één - 1264KB. Laatstgenoemde bevat talrijke functies die ongebruikt blijven. Analisten zijn van mening dat hun doel is om de tijd van de onderzoeker te verspillen, om ieder van hen afzonderlijk te analyseren.
Aanvankelijk, Rombertik schrijft één byte willekeurige informatie in het geheugen 960 miljoen keer om te voorkomen dat het opsporen van instrumenten en zandbakken. Zodra de malware is geen kwaadaardige taken uitvoeren, zandbakken worden niet geactiveerd, en analyse-instrumenten zijn te druk met het verwerken van de schrijf-instructies.
Voordat de Trojan pakt zelf, controleert nog een laatste keer op de aanwezigheid van analyse-instrumenten. Het is het laatste deel, net voordat de dreiging wordt gelanceerd, dat is het echte probleem.
Final Touch Rombertik's - The Anti-Analysis Feature
Hier is hoe Cisco's onderzoekers verklaren de uiteindelijke functie van de Trojan:
“De functie berekent een 32-bit hash van een voorziening in het geheugen en vergelijkt deze met de PE compileren tijdstempel van het uitgepakte monster. Als de bron of het compileren is gewijzigd, de malware acts destructief. Zij tracht eerst naar de Master Boot Record overschrijven (MBR) van PhysicalDisk0, hetgeen de computer onbruikbaar.”
In geval Rombertik mag de MBR overschrijven, de dreiging begint het vernietigen van de bestanden in de map van het slachtoffer naar huis. Rombertik versleutelt elk van de bestanden met een RC4 sleutel die willekeurig wordt gegenereerd.
Zodra alle bestanden worden versleuteld of de MBR wordt overschreven, de gecompromitteerde machine hernieuwd.
Dan wordt de machine gevangen in een eindeloze lus dat elke poging om het systeem op te starten voorkomt. Het slachtoffer is achter met geen andere keuze dan om het besturingssysteem opnieuw installeren.
Op het moment van dit schrijven, Rombertik wordt verdeeld over de beoogde PC als een ZIP-bestand als bijlage bij een spam e-mailbericht te beweren te zijn verzonden door de “Windows Corporation”.
Het ZIP-bestand, vermomd als een PDF-bestand, bevat een uitvoerbaar bestand waar de Rombertik is verborgen.
Gebruikers wordt geadviseerd om hun beveiligingsoplossing up-to-date en nooit geopende e-mails en attachments downloaden van berichten verzonden vanaf onbekende bronnen te houden.