c.m.g
07-05-2015, 10:34
mercoledì 6 maggio 2015
Cisco lancia l'allarme su un nuovo malware piuttosto molesto, una minaccia pensata per il cyber-crimine e dotata di payload distruttivi come ai tempi dei virus amatoriali scritti per la gloria
Roma - I ricercatori di Cisco hanno pubblicato una ricerca (http://blogs.cisco.com/security/talos/rombertik) inerente Rombertik, malware progettato per rubare i dati sensibili immessi dall'utente sui browser Web e dotato di un payload insolitamente pericoloso. Piuttosto che l'invisibilità, infatti, lo spyware preferisce dispensare distruzione sui PC (Windows) dotati di antivirus troppo solerti.
Rombertik è un malware molto complesso capace di inserire hook nelle routine dei browser attraverso cui passano le credenziali di accesso (magari finanziarie) e altri dati sensibili dell'utente, raccogliere tali informazioni e infine spedirle ai server evidentemente gestiti dagli autori della minaccia.
Prima di passare alla fase di spionaggio vera e propria, però, il cyber-guastatore Rombertik prende parecchie precauzioni (http://www.theregister.co.uk/2015/05/05/rombertik_malware/) contro i software antivirali e i tentativi di analisi da parte degli esperti di sicurezza: le routine del malware sono in grado di identificare le eventuali scansioni statiche (ad esempio una scansione di memoria da parte dell'antivirus) e dinamiche (direttamente in memoria), di occupare pezzi di memoria con dati "spazzatura" riscritti fino a 960 milioni di volte portando alla generazione di file di log da 100 Gigabyte.Rombertik abusa poi delle API di Windows - e in particolare di quella per il debugging del codice - per riconoscere e mandare in confusione eventuali sandbox e macchine virtuali invece del sistema "fisicamente" installato sul PC, mentre il codice deputato alla decrittazione delle routine del malware viene descritto da Cisco come "mostruoso" e addirittura più complesso delle routine anti-analisi.
Nel caso in cui venisse identificato qualcosa di indesiderato come antivirus e analisi antivirali, il payload di Rombertik è progettato per danneggiare il sistema in maniera potenzialmente devastante: il malware distrugge il settore 0 dell'HDD che ospita il Master Boot Record (MBR) più la directory principale del disco, e nel caso in cui ciò non fosse possibile si "limita" a criptare tutti i file nella cartella home dell'utente corrente con una chiave RC4 casuale.
Le tattiche di abuso dell'MBR sono ovviamente vecchie come il DOS e già ampiamente adottate (http://punto-informatico.it/2459763/PI/News/cybercrime-numeri-record-rootkit-mbr.aspx) dal cyber-crimine a base di malware, così come la vocazione distruttiva del nuovo malware impallidisce di fronte ad agenti virali storici del calibro di Magistr (http://virus.wikia.com/wiki/Magistr). Quello che Rombertik non fa è seguire la lezione di invisibilità dettata da super-malware come quelli di Equation Group (http://punto-informatico.it/4225747/PI/News/equation-group-anticristo-della-sicurezza-informatica.aspx), capaci di autodistruggersi e di infettare i firmware degli HDD. Ignoto, poi, il comportamento dello spyware su sistemi dotati di partizioni in formato GPT (https://en.wikipedia.org/wiki/GUID_Partition_Tablehttp://).
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4244779/PI/News/rombertik-spyware-distruttivo.aspx)
Cisco lancia l'allarme su un nuovo malware piuttosto molesto, una minaccia pensata per il cyber-crimine e dotata di payload distruttivi come ai tempi dei virus amatoriali scritti per la gloria
Roma - I ricercatori di Cisco hanno pubblicato una ricerca (http://blogs.cisco.com/security/talos/rombertik) inerente Rombertik, malware progettato per rubare i dati sensibili immessi dall'utente sui browser Web e dotato di un payload insolitamente pericoloso. Piuttosto che l'invisibilità, infatti, lo spyware preferisce dispensare distruzione sui PC (Windows) dotati di antivirus troppo solerti.
Rombertik è un malware molto complesso capace di inserire hook nelle routine dei browser attraverso cui passano le credenziali di accesso (magari finanziarie) e altri dati sensibili dell'utente, raccogliere tali informazioni e infine spedirle ai server evidentemente gestiti dagli autori della minaccia.
Prima di passare alla fase di spionaggio vera e propria, però, il cyber-guastatore Rombertik prende parecchie precauzioni (http://www.theregister.co.uk/2015/05/05/rombertik_malware/) contro i software antivirali e i tentativi di analisi da parte degli esperti di sicurezza: le routine del malware sono in grado di identificare le eventuali scansioni statiche (ad esempio una scansione di memoria da parte dell'antivirus) e dinamiche (direttamente in memoria), di occupare pezzi di memoria con dati "spazzatura" riscritti fino a 960 milioni di volte portando alla generazione di file di log da 100 Gigabyte.Rombertik abusa poi delle API di Windows - e in particolare di quella per il debugging del codice - per riconoscere e mandare in confusione eventuali sandbox e macchine virtuali invece del sistema "fisicamente" installato sul PC, mentre il codice deputato alla decrittazione delle routine del malware viene descritto da Cisco come "mostruoso" e addirittura più complesso delle routine anti-analisi.
Nel caso in cui venisse identificato qualcosa di indesiderato come antivirus e analisi antivirali, il payload di Rombertik è progettato per danneggiare il sistema in maniera potenzialmente devastante: il malware distrugge il settore 0 dell'HDD che ospita il Master Boot Record (MBR) più la directory principale del disco, e nel caso in cui ciò non fosse possibile si "limita" a criptare tutti i file nella cartella home dell'utente corrente con una chiave RC4 casuale.
Le tattiche di abuso dell'MBR sono ovviamente vecchie come il DOS e già ampiamente adottate (http://punto-informatico.it/2459763/PI/News/cybercrime-numeri-record-rootkit-mbr.aspx) dal cyber-crimine a base di malware, così come la vocazione distruttiva del nuovo malware impallidisce di fronte ad agenti virali storici del calibro di Magistr (http://virus.wikia.com/wiki/Magistr). Quello che Rombertik non fa è seguire la lezione di invisibilità dettata da super-malware come quelli di Equation Group (http://punto-informatico.it/4225747/PI/News/equation-group-anticristo-della-sicurezza-informatica.aspx), capaci di autodistruggersi e di infettare i firmware degli HDD. Ignoto, poi, il comportamento dello spyware su sistemi dotati di partizioni in formato GPT (https://en.wikipedia.org/wiki/GUID_Partition_Tablehttp://).
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4244779/PI/News/rombertik-spyware-distruttivo.aspx)