Un nuovo Trojan informazioni furto doppiato Rombertik è stata avvistata dai ricercatori Cisco. La minaccia in grado di leggere e registrare tutti i dati digitati dall'utente nel browser web in formato testo. Ciò che rende il Trojan vale la pena scrivere è il suo comportamento aggressivo se rileva che qualcuno sta cercando di esaminarla.
Come funziona Rombertik Operate?
I ricercatori descrivono come un Rombertik di malware sofisticato simile al Animal Banking Trojan. Rombertik ha la capacità di raccogliere dati sensibili (le credenziali di accesso ad esempio) dal browser della vittima e inviarlo a un server remoto. La differenza tra i due è che le minacce Rombertik rivolge i dati da tutte le pagine web visitati dall'utente.
Nel caso in cui durante le ultime fasi della procedura di installazione, i Trojan rilevare ogni tentativo da analizzare, diminuisce il suo scopo iniziale e inizia distruggendo disco fisso della vittima sovrascrivendo il Master Boot Record.
esperti Cisco spiegano che fin dall'inizio il cavallo di Troia “incorpora diversi strati di offuscamento con funzionalità anti-analisi.”
la versione decompressa di Rombertik è 28KB e confezionato uno - 1264KB. Quest'ultimo contiene numerose funzioni che rimangono inutilizzati. Gli analisti ritengono che il loro scopo è quello di sprecare il tempo del ricercatore al fine di analizzare ciascuno di essi separatamente.
All'inizio, Rombertik scrive un byte di informazioni casuali alla memoria 960 milione di volte al fine di evitare gli strumenti e le sandbox tracing. Non appena il malware non si svolgono operazioni dannose, sandbox non si attivano, e strumenti di analisi sono troppo occupato con l'elaborazione delle istruzioni di scrittura.
Prima che il Trojan si decomprime, controlla l'ultima volta per la presenza di strumenti di analisi. E 'la parte finale, appena prima che la minaccia è lanciato, questo è il vero problema.
Final Touch di Rombertik - La funzione Anti-Analysis
Ecco come i ricercatori di Cisco spiegano la funzione finale del Trojan:
“La funzione calcola un hash a 32 bit di una risorsa in memoria e lo confronta con il PE Compile Timestamp del campione scompattato. Se la risorsa o il tempo di compilazione è stato alterato, gli atti di malware distruttivo. Tenta prima di sovrascrivere il Master Boot Record (MBR) di PhysicalDisk0, che rende inutilizzabile il computer.”
Nel caso in cui Rombertik non è permesso di sovrascrivere l'MBR, la minaccia inizia a distruggere i file nella cartella casa della vittima. Rombertik cripta tutti i file con una chiave RC4 che viene generato in modo casuale.
Non appena tutti i file sono criptati o l'MBR viene sovrascritto, la macchina viene riavviata compromessa.
Poi la macchina viene catturato in un ciclo infinito che impedisce qualsiasi tentativo di avviare il sistema. La vittima è lasciato senza altra scelta che quella di reinstallare il sistema operativo.
Al momento della stesura di questo, Rombertik è distribuito al PC mirati come file ZIP allegato a un messaggio e-mail di spam sostenendo di essere stato inviato dal “Finestre Corporation”.
Il file ZIP, travestito da un file PDF, contiene un file eseguibile in cui è nascosto il Rombertik.
Gli utenti sono invitati a mantenere la loro soluzione di sicurezza up-to-date e mai aperta e-mail o scaricare gli allegati ai messaggi inviati da fonti sconosciute.