La più recente minaccia malware rilevata in espansione sulle reti si chiama Rombertik. Un’analisi condotta da Fortinet ne traccia le principali caratteristiche e le modalità di attacco.
Rombertik viene classificato da Fortinet come “blastware“, cioè un malware il cui scopo è attaccare e distruggere i dati presenti sul disco rigido del PC infetto. In realtà il principale obiettivo di Rombertik è rubare i dati sensibile dell’utente e solo come meccanismo di “autodifesa” attua contromisure in grado di rendere inaccessibili i file.
Come mezzo di diffusione del malware vengono utilizzate le email mediante campagne di phishing e spam. Rombertik allega solitamente a queste email un file camuffato come pdf, ma che è in realtà un file eseguibile con estensione .scr. Essendo per molti utenti Windows disabilitata la visualizzazione dell’estensione dei file, l’ignaro utente vedrà un file nominato <nome_a_caso>.pdf, ma che in realtà è <nome_a_caso>.pdf.scr.
Una volta eseguito, il malware si installa nel sistema e monitora le istanze dei principali browser Internet per carpire i dati personali inseriti dall’utente. Anche i dati inviati tramite connessione protetta HTTPS sono a rischio, in quanto vengono intercettati prima di essere cifrati. Questi dati vengono poi inviati al centro di controllo dell’hacker e venduti sul mercato nero.
Rombertik è molto difficile da rilevare a causa delle numerose strategie attuate per sfuggire agli antivirus. Rombertik adotta un complesso approccio multi-step al fine di determinare se è sottoposto ad analisi prima di eseguire il payload. Per prima cosa, comune a numerose tipologie di malware moderni, “dorme” o ritarda ogni esecuzione nella speranza di aggirare l’analisi di base tramite sandboxing. Ma, a differenza di altri virus, non è veramente “dormiente”: scrive infatti un ridotto volume di dati casuali nella memoria quasi un miliardo di volte per guadagnare tempo e ingannare le sandbox che non rilevano in questa attività una tecnica di stallo. Questo metodo assicura inoltre l’ulteriore beneficio di sopraffare i tool di tracciamento.
Se un analista riesce a rilevare Rombertik nell’esecuzione del payload, il malware ha a disposizione altre funzionalità per complicare l’analisi: include un ampio volume di “codice spazzatura”, oltre a un codice di spacchettamento molto complesso che non ha nulla a che fare con il malware. Rombertik può contare su una dozzina di immagini e quasi diecimila funzionalità inutilizzate nella speranza di rendere l’analisi macchinosa ed estremamente complicata.
Nel caso si accorga di essere stato rilevato, Rombertik si trasforma in blastware: tenta immediatamente di sovrascrivere il Master Boot Record (MBR) del disco rigido in cui si trova, impedendo al sistema infetto di avviarsi. Se non è in grado di modificare il MBR, procede con la cifratura di tutti i file della vittima presenti nella directory home (per es. C:\Documents and Settings\<user_name>) con chiavi RC4 generate in modo casuale. In entrambi i casi, terminata l’operazione procede con il riavvio del computer, rendendolo inutilizzabile.