Rombertik es una sofisticada familia de malware descubierta por el investigador del equip de Talos Cisco, borra el disco duro para evitar el análisis.
Los expertos en seguridad han descubierto nueva familia de malware denominada Rombertik que implementa una alta técnica de evasión de detección y análisis sofisticado, ademas incluye la capacidad de eliminar datos del disco duro de la víctima y hacer que el equipo quede inutilizable.
La cadena de ataque es bastante similar a la de otros tipos de malware, que se sirve a través de correos electrónicos maliciosos como se explica por los investigadores.
Expertos de Talos han hecho ingeniería inversa al agente Rombertik y lograron encontrar lo que hace el malware, que incluye múltiples niveles de la ofuscación, el análisis anti-malware, y como último recurso se autodestruye llevándose consigo todo el contenido del disco duro.
Los expertos en seguridad han descubierto nueva familia de malware denominada Rombertik que implementa una alta técnica de evasión de detección y análisis sofisticado, ademas incluye la capacidad de eliminar datos del disco duro de la víctima y hacer que el equipo quede inutilizable.
"Hay un nuevo chico en la cuadra" y nadie lo sabe, es súper secreto y toma medidas para evitar la detección y el análisis, y si es necesario borra todo el disco duro de la víctima, y se llama Rombertik ".Rombertik fue descubierto por los expertos del Grupo de Talos Cisco, es un software muy complejo que recoge toda la información sobre lo que el usuario está haciendo en la web, con el objetivo de recopilar datos de acceso y otros datos sensibles.
La cadena de ataque es bastante similar a la de otros tipos de malware, que se sirve a través de correos electrónicos maliciosos como se explica por los investigadores.
 |
| Ejemplo de correo electrónico fraudulento |
"Una vez que la versión desempacada de Rombertik dentro de la segunda copia de yfoye.exe comienza a ejecutar, una última función anti-análisis se ejecuta - que resulta ser particularmente desagradable si la comprobación falla. La función calcula un hash de 32 bits de un recurso en la memoria, y lo compara con el Timestamp del compilador PE de la muestra desempaquetada. Si el recurso o el tiempo de compilado ha sido alterado, el malware actúa destructivamente. En primer lugar, intenta sobreescribir el Master Boot Record (MBR) de PhysicalDisk0, que hace que el equipo deje de funcionar. Si el malware no tiene permisos para sobrescribir el MBR, destruye todos los archivos en la carpeta de inicio del usuario (por ejemplo, C: \ Documents and Settings \ Administrador \) cifrando cada archivo con una clave RC4 generada aleatoriamente. Después de que el MBR se sobrescribe o la carpeta de inicio se ha cifrado, se reinicia el equipo. ", Explicó a los investigadores Talos Ben Baker y Alex Chiu." El Master Boot Record comienza con código que se ejecuta antes de que el sistema operativo. El malware sobrescribe el MBR con un código que imprime "Carbon crack attempt, failed", entonces entra en un bucle infinito para evitar que el sistema continúe arrancando."Los investigadores comprobaron que el MBR también contiene datos relacionados con la partición del disco, esto significa que cuando el malware cambia el MBR también fijará los bytes de la partición en Null lo que hace difícil a un experto forense acceder a los datos. Cuando se reinicia el PC de la víctima se queda atascado en la siguiente pantalla.
 |
| Ejemplo de equipo dañado por Rombertik |
"Efectivamente, Rombertik comienza a comportarse como una muestra de malware eliminador, destroza el equipo del usuario si detecta que está siendo analizado. Mientras Talos ha observado anti-análisis y técnicas anti-depuración en muestras de malware en el pasado, Rombertik es único, ya que intenta activamente destruir el equipo si detecta ciertos atributos asociados con el análisis de malware ".
La mejor defensa para evitar ser infectado es aplicando las buenas prácticas de seguridad, tales como comprobar si el antivirus está actualizado, no abrir correos electrónicos de personas desconocidas, evitar la carpeta de SPAM etc.
El análisis completo publicado por el Grupo de Talos está disponible aquí.
