Alfonso Maruccia

Rombertik, spyware distruttivo

Cisco lancia l'allarme su un nuovo malware piuttosto molesto, una minaccia pensata per il cyber-crimine e dotata di payload distruttivi come ai tempi dei virus amatoriali scritti per la gloria

Roma - I ricercatori di Cisco hanno pubblicato una ricerca inerente Rombertik, malware progettato per rubare i dati sensibili immessi dall'utente sui browser Web e dotato di un payload insolitamente pericoloso. Piuttosto che l'invisibilità, infatti, lo spyware preferisce dispensare distruzione sui PC (Windows) dotati di antivirus troppo solerti.

Rombertik è un malware molto complesso capace di inserire hook nelle routine dei browser attraverso cui passano le credenziali di accesso (magari finanziarie) e altri dati sensibili dell'utente, raccogliere tali informazioni e infine spedirle ai server evidentemente gestiti dagli autori della minaccia.

Prima di passare alla fase di spionaggio vera e propria, però, il cyber-guastatore Rombertik prende parecchie precauzioni contro i software antivirali e i tentativi di analisi da parte degli esperti di sicurezza: le routine del malware sono in grado di identificare le eventuali scansioni statiche (ad esempio una scansione di memoria da parte dell'antivirus) e dinamiche (direttamente in memoria), di occupare pezzi di memoria con dati "spazzatura" riscritti fino a 960 milioni di volte portando alla generazione di file di log da 100 Gigabyte.
Rombertik abusa poi delle API di Windows - e in particolare di quella per il debugging del codice - per riconoscere e mandare in confusione eventuali sandbox e macchine virtuali invece del sistema "fisicamente" installato sul PC, mentre il codice deputato alla decrittazione delle routine del malware viene descritto da Cisco come "mostruoso" e addirittura più complesso delle routine anti-analisi.

Nel caso in cui venisse identificato qualcosa di indesiderato come antivirus e analisi antivirali, il payload di Rombertik è progettato per danneggiare il sistema in maniera potenzialmente devastante: il malware distrugge il settore 0 dell'HDD che ospita il Master Boot Record (MBR) più la directory principale del disco, e nel caso in cui ciò non fosse possibile si "limita" a criptare tutti i file nella cartella home dell'utente corrente con una chiave RC4 casuale.

Le tattiche di abuso dell'MBR sono ovviamente vecchie come il DOS e già ampiamente adottate dal cyber-crimine a base di malware, così come la vocazione distruttiva del nuovo malware impallidisce di fronte ad agenti virali storici del calibro di Magistr. Quello che Rombertik non fa è seguire la lezione di invisibilità dettata da super-malware come quelli di Equation Group, capaci di autodistruggersi e di infettare i firmware degli HDD. Ignoto, poi, il comportamento dello spyware su sistemi dotati di partizioni in formato GPT.

Alfonso Maruccia
Notizie collegate
10 Commenti alla Notizia Rombertik, spyware distruttivo
Ordina
  • Ciao signori e Signore
    Avete difficoltà finanziarie? Avete bisogno di un prestito di denaro?
    L'offerta di credito tra particolare è ampia, ma quando si tratta di trovare i prestiti tra individui gravi in Francia, l'elenco è limitato, soprattutto quando si tratta di coloro che offrono prestiti tra individui affidabili. Offro la migliore categoria del prestito tra particolari servizi attraverso la mia certificazione banca di France.Nous sono un gruppo competente di dirigenti finanziari. organizzato, questo è a dominare il mercato dell'offerta di prestito serio tra gli individui.
    Tutti i nostri prestito offerte sono in linea con le leggi che governano i prestiti tra individuo e tutto ciò che è conforme a queste leggi; più chiediamo ai nostri clienti di controllare tutte le informazioni che inviano
    Se siete interessati vi prego di contattarmi via e-mail: rollanddavinachristelle@gmail.com
    Godetevi le migliori condizioni di finanziamento per il vostro progetto immobiliare.
    Combinare i tuoi prestiti in una sola e ridurre i pagamenti mensili.
    Ottenere le tariffe migliori pur essendo meglio coperto.
    Auto, lavoro, personal... Finanziare i tuoi progetti!
    Costruire la vostra ricchezza, riducendo le tasse.
    Preparare il futuro che ho il tasso di interesse che bisogno di te!
    Se siete interessati, contattatemi su questa email: rollanddavinachristelle@gmail.com
    non+autenticato
  • Nessun problema: molto casualmente adesso mamma M$ vi fornirà l'upload dell'immagine del vostro HD su cloud.
    Ovviamente proprio sul suo cloud e altrettanto ovviamente l'immagine sarà tirata su dal sistema operativo stesso (quindi leggibile per lei).

    Così il caro utonto potrà essere sempre "al riparo" da questi "nuovi malware cattivoni assurdi e incomprensibili"
    con il suo bel pulsantone di ripristino dal cloud.
    "Comodo eh? Se prendo un virus di quelli cattivi basta cliccare qui!".

    Complimenti alle capacità di raccolta ittiche della M$: sotto il profilo sado-commerciale tanto di cappello (da pesca).
    non+autenticato
  • non ho capito...attacca quelli solerti mentre quelli ciofecca non li attacca? oppure è cambiato il significato della parola solerte?
  • è il comportamento del tipico virus minchi* di 20 anni fa. Quando hai l'immagine del disco in 10 minuti hai ripristinato il computer.
    Siamo nel 2015 ancora fanno notizia queste cazz*te ... Annoiato
    non+autenticato
  • - Scritto da: prova123
    > è il comportamento del tipico virus minchi* di 20
    > anni fa. Quando hai l'immagine del disco in 10
    > minuti hai ripristinato il
    > computer.
    > Siamo nel 2015 ancora fanno notizia queste
    > cazz*te ...
    >Annoiato

    Oh cielo come sei esperto tu!

    Vorrei proprio vedere, ora che su attrezzi informatici con imprescindibile accesso internet ci bazzicano cani e porci senza alcuna cognizione o esperienza sul campo, quanti di costoro hanno idea di questo argomento che tu giudichi una cazz*ta che non fa notizia!

    Ottimo consiglio è invece, sempre per costoro, quello di avere l'immagine della partizione di sistema e saper fare il ripristino stand alone (molto ottimisticamente in 10 minuti, ora poi che matrigna M$ ci propina sistemi malloppo da decine di GB...).
    -----------------------------------------------------------
    Modificato dall' autore il 07 maggio 2015 02.46
    -----------------------------------------------------------
  • - Scritto da: rockroll

    >
    > Oh cielo come sei esperto tu!
    >

    Questa è roba vecchia di 20 anni fa. Io non sono esperto, il problema è l'analfabetismo informatico così dilagante che ai tuoi occhi appaio come un esperto!A bocca aperta
    non+autenticato
  • - Scritto da: prova123
    > è il comportamento del tipico virus minchi* di 20
    > anni fa. Quando hai l'immagine del disco in 10
    > minuti hai ripristinato il
    > computer.

    Quindi tu nel caso fai svariati ripristini ogni settimanaA bocca aperta
    Con tanti saluti anche al tuo lavoro e perdita di tempo,ammesso poi che ogni utente sappia fare una cosa del genere...

    > Siamo nel 2015 ancora fanno notizia queste
    > cazz*te ...
    >Annoiato

    Fa notizia in quanto è un malware evoluto abbastanza tosto da metetre fuori combattimento,anche con le tecniche più avanzate.
    non+autenticato
  • - Scritto da: Etype

    >
    > Quindi tu nel caso fai svariati ripristini ogni
    > settimana
    >A bocca aperta
    > Con tanti saluti anche al tuo lavoro e perdita di
    > tempo,ammesso poi che ogni utente sappia fare una
    > cosa del
    > genere...
    >

    Assolutamente no! Mi piacerebbe sapere che siti frequentano questi poveretti per caricarsi tutti questi malware devastanti... se faccio 1/2 ripristini all'anno è anche troppo e lo faccio solo per motivi estremi di performance maniacali.
    non+autenticato
  • Bella bestiolinaSorride
    non+autenticato
  • - Scritto da: Etype
    > Bella bestiolinaSorride

    pare anche a me, da inizio anno sto cercando un equation group, ma anche nel deep web stanno tutti abbottonati, quello si che è una bestiaccia di razza
    non+autenticato