Il malware, denominato Rombertik da Cisco Systems, è stato progettato per intercettare qualsiasi testo digitato in una finestra del browser. Esso viene diffuso attraverso messaggi di spam e messaggi di phishing (ovvero i messaggi che tentano di “far abboccare” un utente ad una trappola – tipo i finti siti di uffici postali o banche), come è stato pubblicato lunedì dal blog Talos Group di Cisco stessa.
Il malware Rombertik è in grado di superare diversi controlli e diverse scansioni una volta che è installato e funzionante su un computer Windows. Questo comportamento non è insolito per alcuni tipi di malware, ma Rombertik “è unico in quanto cerca attivamente di distruggere il computer se si accorge di alcuni attributi associati con l’analisi del malware“, hanno scritto Ben Baker e Alex Chiu del Gruppo Talos. In pratica riesce a rendersi conto se i programmi di protezione del PC stanno effettuando delle analisi su sé stesso.
Tale malware è stato usato in passato, in particolare contro obiettivi della Corea del Sud nel 2013 e contro Sony Pictures Entertainment lo scorso anno, un attentato attribuito alla Corea del Nord da parte del governo degli Stati Uniti.
L’ultima azione che Rombertik effettua è sicuramente la più pericolosa. Calcola un hash a 32 bit di una risorsa in memoria; se quella risorsa o il tempo di compilazione vengono cambiati, Rombertik innesca un meccanismo di autodistruzione.
Il malware innanzitutto tende a mirare il Master Boot Record (MBR), ovvero il primo settore del disco rigido di un PC che il computer cerca prima di caricare il sistema operativo. Se Rombertik non ha accesso al MBR, distrugge efficacemente tutti i file che si trovano all’interno della cartella principale (la cartella Home) di un utente mediante la crittografia di ciascun file con una chiave RC4 casuale.
Una volta che l’MBR o i file della cartella Home sono stati crittografati, il computer viene riavviato. L’ MBR entra in un ciclo infinito che impedisce al computer di avviarsi. Sul monitor si legge la scritta “Carbon crack attempt, failed.”.
Quando viene installato su un computer per la prima volta, il malware si decomprime. Circa il 97 per cento del contenuto del file scompattato è stato progettato per farlo sembrare legittimo (quindi non rilevabile dai sistemi di sicurezza del PC) e si compone di 75 immagini e 8.000 funzioni “esca” che non vengono effettivamente mai utilizzate. “Questo malware tenta di sopraffare gli analisti rendendo impossibile il controllo di ogni funzione,” ha scritto Talos.
Il malware cerca anche di evitare il sandboxing, ovvero la pratica di isolare il codice per il periodo di tempo necessario alla sua verifica. Alcuni malware tentano di attendere il periodo di tempo di sandboxing, sperando che tale tempo scada e possa svegliarsi.
Rombertik rimane sveglio, tuttavia, e scrive un byte di dati nella memoria 960 milioni di volte, il che complica l’analisi per gli strumenti di tracciamento di infezioni dei PC. “Se uno strumento di analisi tenta di accedere a tutti i 960 milioni di istruzioni di scrittura contenute nel registro, tale registro dovrebbe allora crescere fino a più di 100 gigabyte”, ha scritto Talos.
L’articolo ti è piaciuto? Condividilo con chi vuoi attraverso il tuo social network preferito usando la barra a sinistra.
Cosa ne pensi? Hai bisogno di aiuto? Condividi con noi la tua esperienza lasciando un commento!