El equipo de investigación de seguridad de CISCO Talos anuncia el descubrimiento de una nueva amenaza que destruye la PC si detecta que lo están analizando.
Rombertik es como han llamado esta nueva y sofisticada pieza de Malware destinada a robar información sensible de los equipos que infecta. Lo que hace particular a este nuevo Malware es que, si detecta cualquier intento de análisis, sabotea el computador en cuestión para dejarlo inutilizable.
La eterna pelea entre los creadores y los analistas de Malware ha sido evitarse unos a otros. Y no hablo de voltear la mirada. Cada vez que se desarrolla una nueva técnica para detectar código malicioso y analizarlo, los creadores de Malware se adaptan con nuevas formas de ocultación y prevención de análisis creando piezas de código cada vez más evasivas que les permita permanecer indetectables por el mayor tiempo posible. Finalmente, su objetivo es robar información en la mayoría de los casos.
Esta nueva amenaza se instala inyectándose en una API del explorador web y capturando todas las entradas en texto plano antes de que sean encriptadas por HTTPS, las procesa y las envía a una web, presumiblemente del atacante. Pero a diferencia de otros Malwares con un comportamiento similar, este no discrimina por sitio o por tipo de información, si no que captura todo lo que el usuario escriba en el explorador.
Otra de las diferencias, y esta es la más grande de todas, es que si el Malware detecta algún intento de análisis, este intentará corromper el MBR y reiniciar el equipo, lo cual ocasiona un BOOT Loop por causa del MBR corrupto. Luego de reiniciar el equipo, muestra un mensaje indicando el intento fallido de análisis y deja la PC inutilizable alterando datos de la tabla de partición. Si no tiene permisos para escribir en el MBR, intentará cifrar todos los archivos del perfil en el que se está ejecutando con claves RC4 generadas al azar.
Además de esto, el archivo usa varias técnicas de ofuscación y anti-análisis para hacer muy difícil su estudio. La imagen del ejecutable empaquetado pesa unos 1.264 KB pero el payload desempaquetado ocupa solo 28 KB, el resto de la información es solo basura para inflar el archivo, en la que se incluyen 75 imágenes de archivo y más de 8.000 funciones que no se usan para nada. Esto es con el objetivo de sobrecargar la carga del análisis al ser muy difícil revisar cada función por separado.
El Malware llega por correo electrónico, como es común en este tipo de amenazas. Intenta imitar un remitente legítimo y convencer al usuario que abra el adjunto que, al parecer, es un PDF, pero que realmente es un ejecutable SCR que instala el Malware una vez que el usuario lo abre.
Cada vez los creadores de Malware se hacen más eficientes para robar información y permanecer ocultos, pero este Malware en particular se sale de la norma. Normalmente la intención de este tipo de código es permanecer oculto por el mayor tiempo posible, evitando que lo analicen, pero este destruye el equipo huésped al primer intento de análisis.
Como siempre, las recomendaciones son tener un buen antivirus, un buen firewall, un buen filtro anti-spam y no abrir correos de desconocidos, por más tentadores que parezcan.
Fuente: SlashDot
