Um novo Trojan que rouba informações apelidado Rombertik foi descoberto por pesquisadores da Cisco. A ameaça pode ler e gravar todos os dados digitados pelo usuário no navegador da web em texto simples. O que torna o Trojan vale a pena escrever sobre é o seu comportamento agressivo se detectar que alguém está tentando examiná-lo.
Como o Rombertik Operar?
Os pesquisadores descrevem Rombertik como um malware sofisticado semelhante ao Animal Banking Trojan. Rombertik tem a capacidade de recolher informações sensíveis (as credenciais de login exemplo) a partir do navegador da vítima e enviá-lo para um servidor remoto. A diferença entre as duas ameaças é que Rombertik metas de dados de todas as páginas Web visitadas pelo usuário.
Em caso ao longo dos últimos passos do processo de instalação, os Trojan detectar qualquer tentativa de ser analisado, ele cai seu propósito inicial e começa a destruir o disco rígido da vítima, substituindo o Master Boot Record.
especialistas da Cisco explicar que desde o início o cavalo de Tróia “incorpora várias camadas de ofuscação juntamente com a funcionalidade anti-análise.”
versão descompactada do Rombertik é 28KB e um embalado - 1264KB. Este último contém inúmeras funções que permanecem sem uso. Analistas acreditam que o seu objectivo é perder tempo do pesquisador, a fim de analisar cada um deles separadamente.
No início, Rombertik escreve um byte de informação aleatório à memória 960 milhão de vezes a fim de evitar ferramentas e caixas de areia rastreamento. Assim que o malware não está realizando quaisquer tarefas maliciosas, caixas de areia não são acionados, e ferramentas de análise estão muito ocupados com o processamento das instruções de escrita.
Antes do Trojan descompacta si, ele verifica uma última vez para a presença de ferramentas de análise. É a parte final, pouco antes de a ameaça é lançado, Esse é o real problema.
Toque final do Rombertik - O Anti-Análise Característica
Aqui é como os pesquisadores da Cisco explicar a função final do Trojan:
“A função calcula um hash de um recurso de 32 bits na memória e compara com o PE Compilar Timestamp da amostra descompactado. Se o recurso ou tempo de compilação foi alterada, os atos de malware destrutivo. Ele primeiro tenta substituir o Master Boot Record (MBR) de PhysicalDisk0, o que torna o computador inoperante.”
No caso Rombertik não é permitido para substituir o MBR, a ameaça começa a destruir os arquivos na pasta casa da vítima. Rombertik criptografa cada um dos arquivos com uma chave RC4 que é gerado aleatoriamente.
Assim que todos os arquivos são criptografados ou o MBR é substituído, a máquina comprometida é reiniciado.
Em seguida, a máquina é capturado num ciclo sem fim que evita qualquer tentativa para arrancar o sistema. A vítima é deixado com nenhuma outra escolha, mas para reinstalar o sistema operacional.
No momento da redação deste texto, Rombertik é distribuído para o PC alvo como um arquivo ZIP anexado a uma mensagem de spam de e-mail alegando ter sido enviado pelo “Janelas Corporação”.
O arquivo ZIP, disfarçado como um arquivo PDF, contém um arquivo executável, onde o Rombertik está escondido.
Os usuários são aconselhados a manter a sua solução de segurança up-to-date e nunca abra e-mails ou download de anexos de mensagens enviadas a partir de fontes desconhecidas.