CambioDigital-OL

0

Rombertik, un peligroso spyware con funcionalidad anti-análisis

malware_virus_hiSegún investigadores de Cisco Talos, Rombertik presenta hasta tres controles anti-análisis, pudiendo llegar a destruir todos los archivos en la carpeta de inicio del usuario si detecta que está siendo analizado y auditado.

Cisco Talos informa del descubrimiento de un nuevo ejemplar de spyware. Bautizado como Rombertik, el malware presenta un comportamiento similar a otras variantes de spyware como Dyre, pero presenta un lado destructivo nunca visto hasta ahora.

Según Craig Williams, director de seguridad de Cisco, Rombertik tiene una serie de características inusuales y complejas, la mayoría de las cuales están diseñadas para evadir la detección y el análisis. Por ejemplo, una vez que el ejecutable malicioso se lanza desde un mensaje de phishing o spam, el malware contiene volúmenes de código basura que tendrían que ser analizados (1264 Kb que incluye 75 imágenes y 8.000 funciones que nunca se utilizan).

Como otros ejemplares de malware, éste también contiene capacidades para detectar y evadir sandboxes, pero a diferencia de otros que permanecen dormidos durante un periodo de tiempo antes de ejecutarse, Rombertik escribe un byte de datos que se memoriza 960 millones de veces. Los sandboxes no pueden diferenciar esta táctica del comportamiento normal, y además, si todos esos datos son registrados, el tamaño del registro excedería los 100Gb y llevaría media hora escribirlo en el disco duro. Este es sólo uno de los tres controles anti-análisis del malware.

Si el malware pasa los sandboxes, se instalará en la carpeta de inicio y en AppData para asegurar su persistencia. Una vez instalado, si Rombertik detecta alguna alteración que indique que esta siendo analizado, primero intentará sobrescribir el Master Boot Record del disco físico. Si eso no funciona, destruye todos los archivos en la carpeta de inicio del usuario, cifrando cada archivo con una clave RC4 generada aleatoriamente.

“Puede sonar a cliché, pero estamos ante una carrera armamentista digital y aquí estamos viendo la próxima evolución”, explica Williams. “Ahora si el malware se da cuenta de que está siendo auditado, el binario destruirá el sistema. Es un simple caso de atacantes tratando de disuadir a los investigadores de analizar una muestra”.

IDG

Ordenado por: Malware Tags: 

TOT

 

 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 2018 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB