I ricercatori di Cisco hanno pubblicato una ricerca inerente Rombertik, malware progettato per rubare i dati sensibili immessi dall’utente sui browser Web e dotato di un payload insolitamente pericoloso. Piuttosto che l’invisibilità, infatti, lo spyware preferisce dispensare distruzione sui PC (Windows) dotati di antivirus troppo solerti.
Rombertik è un malware molto complesso capace di inserire hook nelle routine dei browser attraverso cui passano le credenziali di accesso (magari finanziarie) e altri dati sensibili dell’utente, raccogliere tali informazioni e infine spedirle ai server evidentemente gestiti dagli autori della minaccia.
Prima di passare alla fase di spionaggio vera e propria, però, il cyber-guastatore Rombertik prende parecchie precauzioni contro i software antivirali e i tentativi di analisi da parte degli esperti di sicurezza: le routine del malware sono in grado di identificare le eventuali scansioni statiche (ad esempio una scansione di memoria da parte dell’antivirus) e dinamiche (direttamente in memoria), di occupare pezzi di memoria con dati “spazzatura” riscritti fino a 960 milioni di volte portando alla generazione di file di log da 100 Gigabyte.
Rombertik abusa poi delle API di Windows – e in particolare di quella per il debugging del codice – per riconoscere e mandare in confusione eventuali sandbox e macchine virtuali invece del sistema “fisicamente” installato sul PC, mentre il codice deputato alla decrittazione delle routine del malware viene descritto da Cisco come “mostruoso” e addirittura più complesso delle routine anti-analisi.
Nel caso in cui venisse identificato qualcosa di indesiderato come antivirus e analisi antivirali, il payload di Rombertik è progettato per danneggiare il sistema in maniera potenzialmente devastante: il malware distrugge il settore 0 dell’HDD che ospita il Master Boot Record (MBR) più la directory principale del disco, e nel caso in cui ciò non fosse possibile si “limita” a criptare tutti i file nella cartella home dell’utente corrente con una chiave RC4 casuale.
Le tattiche di abuso dell’MBR sono ovviamente vecchie come il DOS e già ampiamente adottate dal cyber-crimine a base di malware, così come la vocazione distruttiva del nuovo malware impallidisce di fronte ad agenti virali storici del calibro di Magistr . Quello che Rombertik non fa è seguire la lezione di invisibilità dettata da super-malware come quelli di Equation Group , capaci di autodistruggersi e di infettare i firmware degli HDD. Ignoto, poi, il comportamento dello spyware su sistemi dotati di partizioni in formato GPT .
Alfonso Maruccia