|
|||||||
|
|
|
 |
|
|
Strumenti |
07-05-2015, 11:34
|
#1 | |||
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
[NEWS] Rombertik, spyware distruttivo
mercoledì 6 maggio 2015
Roma - I ricercatori di Cisco hanno pubblicato una ricerca inerente Rombertik, malware progettato per rubare i dati sensibili immessi dall'utente sui browser Web e dotato di un payload insolitamente pericoloso. Piuttosto che l'invisibilità, infatti, lo spyware preferisce dispensare distruzione sui PC (Windows) dotati di antivirus troppo solerti. Rombertik è un malware molto complesso capace di inserire hook nelle routine dei browser attraverso cui passano le credenziali di accesso (magari finanziarie) e altri dati sensibili dell'utente, raccogliere tali informazioni e infine spedirle ai server evidentemente gestiti dagli autori della minaccia. Prima di passare alla fase di spionaggio vera e propria, però, il cyber-guastatore Rombertik prende parecchie precauzioni contro i software antivirali e i tentativi di analisi da parte degli esperti di sicurezza: le routine del malware sono in grado di identificare le eventuali scansioni statiche (ad esempio una scansione di memoria da parte dell'antivirus) e dinamiche (direttamente in memoria), di occupare pezzi di memoria con dati "spazzatura" riscritti fino a 960 milioni di volte portando alla generazione di file di log da 100 Gigabyte.Rombertik abusa poi delle API di Windows - e in particolare di quella per il debugging del codice - per riconoscere e mandare in confusione eventuali sandbox e macchine virtuali invece del sistema "fisicamente" installato sul PC, mentre il codice deputato alla decrittazione delle routine del malware viene descritto da Cisco come "mostruoso" e addirittura più complesso delle routine anti-analisi. Nel caso in cui venisse identificato qualcosa di indesiderato come antivirus e analisi antivirali, il payload di Rombertik è progettato per danneggiare il sistema in maniera potenzialmente devastante: il malware distrugge il settore 0 dell'HDD che ospita il Master Boot Record (MBR) più la directory principale del disco, e nel caso in cui ciò non fosse possibile si "limita" a criptare tutti i file nella cartella home dell'utente corrente con una chiave RC4 casuale. Le tattiche di abuso dell'MBR sono ovviamente vecchie come il DOS e già ampiamente adottate dal cyber-crimine a base di malware, così come la vocazione distruttiva del nuovo malware impallidisce di fronte ad agenti virali storici del calibro di Magistr. Quello che Rombertik non fa è seguire la lezione di invisibilità dettata da super-malware come quelli di Equation Group, capaci di autodistruggersi e di infettare i firmware degli HDD. Ignoto, poi, il comportamento dello spyware su sistemi dotati di partizioni in formato GPT. Alfonso Maruccia Fonte: Punto Informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|||
|
|
|
23-10-2015, 10:16
|
#2 |
|
Junior Member
Iscritto dal: Oct 2015
Messaggi: 2
|
Rombertik è una merda!
 Malapena rimosso con questa guida !
|
|
|
|
|
22-02-2017, 16:10
|
#3 |
|
Bannato
Iscritto dal: Feb 2017
Messaggi: 3
|
Grazie per le informazioni. Questa è una cattiva notizia(((
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 20:20.
