En ny informations-stjæler trojansk eftersynkroniseret Rombertik blevet spottet af forskere på Cisco. Truslen kan læse og registrere alle data indtastet af brugeren i webbrowseren i klartekst. Hvad gør den trojanske værd at skrive om, er dens aggressive adfærd, hvis den opdager, at nogen forsøger at undersøge det.
Hvordan virker Rombertik Operate?
Forskerne beskriver Rombertik som en sofistikeret malware ligner den Dyre Banking Trojan. Rombertik har evnen til at indsamle følsomme oplysninger (for eksempel loginoplysninger) fra ofrets browser og sende den til en ekstern server. Forskellen mellem de to trusler er, at Rombertik henvender data fra alle websider besøgt af brugeren.
I tilfælde gennem de sidste trin i installationsprocessen, de Trojan detektere ethvert forsøg på at blive analyseret, det falder sit oprindelige formål og begynder at ødelægge ofrets harddisk ved at overskrive Master Boot Record.
Cisco eksperter forklare, at fra begyndelsen den trojanske ”indeholder flere lag af formørkelse sammen med anti-analyse funktionalitet.”
Rombertik s udpakket version er 28KB og pakket en - 1264KB. Sidstnævnte indeholder en lang række funktioner, der forbliver ubrugt. Analytikere tror på, at deres formål er at spilde forskerens tid for at analysere dem enkeltvis.
ved første, Rombertik skriver en byte af tilfældige oplysninger til hukommelsen 960 million gange for at undgå sporing værktøjer og sandkasser. Så snart malware ikke udfører nogen ondsindede opgaver, sandkasser er ikke udløst, og analyseværktøjer har for travlt med at behandle de skriveinstruktioner.
Før den trojanske unpacks selv, Det kontrollerer en sidste gang for tilstedeværelsen af analyseværktøjer. Det er den sidste del, lige før truslen er lanceret, der er det virkelige problem.
Rombertik Final Touch - Anti-Analyse Feature
Her er hvordan Ciscos forskere forklare den endelige funktion af den trojanske:
“Funktionen beregner en 32-bit hash af en ressource i hukommelsen og sammenligner det til PE Compile Tidsstempel for den udpakkede prøve. Hvis ressourcen eller kompileringen er blevet ændret, malware handlinger destruktivt. Det første forsøg på at overskrive Master Boot Record (MBR) af PhysicalDisk0, hvilket gør computeren ubrugeligt.”
I tilfælde Rombertik ikke lov til at overskrive MBR, den trussel begynder at ødelægge filerne i ofrets hjem mappe. Rombertik krypterer hver af filerne med en RC4 nøgle, der er tilfældigt genereret.
Så snart alle filer er krypterede eller MBR overskrives, kompromitteret maskinen genstartes.
Så maskinen er fanget i en endeløs løkke, der forhindrer ethvert forsøg på at starte systemet. Offeret er tilbage med intet andet valg end at geninstallere operativsystemet.
På tidspunktet for dette skrives, Rombertik distribueres til den målrettede pc som en ZIP-fil vedhæftet til en spam e-mail, der hævder at have været sendt af “Windows Corporation”.
Den ZIP-fil, forklædt som en PDF-fil, indeholder en eksekverbar fil, hvor Rombertik er skjult.
Brugere rådes til at holde deres sikkerhedsløsning up-to-date og aldrig åbne e-mails eller vedhæftede filer downloade til beskeder sendt fra ukendte kilder.