In questi giorni si parla di una tipologia di malware capace di “distruggere” i computer. Si tratta di Rombertik. E’ un malware definito “blastware” – studiato cioè per attaccare dati e informazioni conservati nei dischi rigidi. Come per la gran parte degli attacchi malware, Rombertik si fa strada nel vostro computer attraverso l’e-mail: campagne di phishing e spam sono i metodi più diffusi.
Una volta che s’è insediato nel vostro PC, comincia a raccogliere informazioni vostre personali come credenziali di accesso e altri dati quali carte di credito, paypal. Il tutto agganciandosi al browser Internet.
Quello che differenzia Rombertik sono le varie modalità con cui prova a “mimetizzarsi” e a sfuggire agli strumenti di rilevazione quali antivirus e antimalware. Sebbene molte varianti di malware siano dotate di funzionalità “anti-analisi” integrate – tipicamente auto-rimuovendosi nel caso ne rilevino – Rombertik va più in là.
Se si accorge di essere analizzato, tenta immediatamente di sovrascrivere il Master Boot Record (MBR) del disco rigido in cui si trova, impedendo al sistema infetto di avviarsi. Se Rombertik non è in grado di modificare il MBR, procede con la cifratura di tutti i file della vittima presenti nella directory home (per es. C:Documents and Settings) con chiavi RC4 generate in modo casuale.
In entrambi i casi, terminata l’operazione procede con il riavvio del computer. Rombertik viene di regola distribuito tramite quello che all’apparenza sembra un innocuo PDF, ma che a un’analisi più attenta si dimostra essere un file .scr, vale a dire uno dei file eseguibili di Windows.
L’hacker si affida a tre metodi per convincere una vittima ad aprire il file
- creando una mail di phishing convincente che sembri provenire da un indirizzo attendibile
- utilizzando un’icona modificata per far credere che il file sia effettivamente un PDF
- nominando il file .pdf.scr
Rombertik non è il primo malware a utilizzare tecniche avanzate per evitare le analisi dei ricercatori di sicurezza. Dato che il suo scopo sembra essere quello di raccogliere e vendere dati personali confidenziali delle vittime, è molto probabile che la componente blastware sia un meccanismo di difesa contro l’analisi.
Rombertik adotta un complesso approccio multi-step al fine di determinare se è sottoposto ad analisi prima di eseguire il payload. Per prima cosa, comune a numerose tipologie di malware moderni, “dorme” o ritarda ogni esecuzione nella speranza di aggirare l’analisi di base tramite sandboxing.
Ma, a differenza di altri virus, non è veramente “dormiente”: scrive infatti un ridotto volume di dati casuali nella memoria quasi un miliardo di volte per guadagnare tempo e ingannare le sandbox che non rilevano in questa attività una tecnica di stallo. Questo metodo assicura inoltre l’ulteriore beneficio di sopraffare i tool di tracciamento.Se un analista riesce a rilevare Rombertik nell’esecuzione del payload, il malware ha a disposizione altre funzionalità per complicare l’analisi: include un ampio volume di “codice spazzatura”, oltre a un codice di spacchettamento molto complesso che non ha nulla a che fare con il malware. Rombertik può contare su una dozzina di immagini e quasi diecimila funzionalità inutilizzate nella speranza di rendere l’analisi macchinosa ed estremamente complicata.Il malware distribuito sotto forma di file eseguibili .scr ha quasi la stessa anzianità di Internet.
La macchina Windows oggetto dell’attacco può eseguire anche file .vbs, .bat, .com e .pif. A meno di esigenze specifiche, raccomandiamo di bloccare questo tipo di allegati o di file in entrata. Gli hacker sono infatti in grado di utilizzare una varietà di tecniche per nascondere agli utenti le estensioni del malware.Rombertik ruba informazioni personali scansionando istanze in esecuzione di Firefox, Chrome o Internet Explorer e inserendosi nel browser.
Una volta entrato è in grado di leggere qualsivoglia informazione di testo digitata nel browser – inclusi i dati inviati tramite connessione protetta via HTTPS acquisendo il testo prima che venga cifrato e trasmesso.
Fate attenzione a ciò che fate e che scaricate!
