En ny informasjon-stjele Trojan kalt Rombertik har blitt oppdaget av forskere ved Cisco. Trusselen kan lese og spille data skrevet av brukeren i nettleseren i klartekst. Hva gjør den trojanske verdt å skrive om er sin aggressive oppførsel hvis den oppdager at noen prøver å undersøke det.
Hvordan Rombertik Operer?
Forskerne beskriver Rombertik som en sofistikert malware lik Animal Banking Trojan. Rombertik har evnen til å samle sensitiv informasjon (for eksempel påloggingsinformasjon) fra offerets nettleser og sende den til en ekstern server. Forskjellen mellom de to truslene er at Rombertik rettet mot data fra alle nettsider besøkt av brukeren.
I tilfelle gjennom de siste trinnene i installasjonsprosessen, Den trojanske oppdage eventuelle forsøk på å bli analysert, det faller sitt opprinnelige formål, og begynner å ødelegge offerets harddisk ved å overskrive Master Boot Record.
Cisco eksperter forklare det helt fra begynnelsen av Trojan “her også innbefatter flere lag av tåkelegging sammen med anti-analyse funksjonalitet.”
Rombertik er pakket versjonen er 28KB og pakket en - 1264KB. Den sistnevnte inneholder en rekke funksjoner som forblir ubrukt. Analytikere mener at deres formål er å kaste bort forskerens tid for å analysere hver av dem separat.
Først, Rombertik skriver en byte av tilfeldig informasjon til minne 960 million ganger for å unngå sporing verktøy og sandkasser. Så snart malware ikke utfører noen ondsinnede oppgaver, Sandkasser er ikke utløst, og analyseverktøy er for opptatt med å behandle de skriveinstruksjoner.
Før den trojanske pakker seg selv, det sjekker en siste gang for tilstedeværelsen av analyseverktøy. Det er den siste delen, like før trusselen er lansert, som er det virkelige problemet.
Rombertik Final Touch - The Anti-analyse Feature
Her er hvordan Ciscos forskere forklare den endelige funksjon av Trojan:
“Funksjonen beregner en 32-bit hash av en ressurs i minnet og sammenligner den med PE Iler Tidsstempel av den utpakkede prøven. Hvis ressursen eller kompilering er endret, de skadelige virker destruktivt. Den forsøker først å overskrive Master Boot Record (MBR) av PhysicalDisk0, som gjør datamaskinen ubrukelig.”
I tilfelle Rombertik ikke er lov til å overskrive MBR, trusselen starter ødelegge filene i offerets hjem mappen. Rombertik krypterer hver av filene med RC4 nøkkel som er tilfeldig generert.
Så snart alle filene er kryptert eller MBR overskrives, kompromitterte maskinen blir startet.
Da maskinen er fanget i en endeløs sløyfe som hindrer ethvert forsøk på å starte systemet. Offeret sitter igjen med noe annet valg enn å installere operativsystemet på nytt.
På tidspunktet for dette skriftlig, Rombertik distribueres til målrettet PC som en ZIP-fil vedlagt en spam e-postmelding som hevder å ha blitt sendt av “Windows Corporation”.
ZIP-filen, forkledd som en PDF-fil, inneholder en kjørbar fil der Rombertik er skjult.
Brukere rådes til å holde sin sikkerhetsløsning up-to-date og aldri åpne e-post eller laste ned vedlegg til meldinger som sendes fra ukjente kilder.