Di recente è emersa sulla scena una nuova tipologia di malware capace – secondo alcuni – di “distruggere” i computer. Si tratta di Rombertik che, sebbene in grado di causare seri danni a un sistema infetto, non lo danneggia in modo irreversibile. Rombertik è uno di quei malware che Fortinet denomina “blastware” – studiati cioè per attaccare dati e informazioni conservati nei dischi rigidi.
Come per la gran parte degli attacchi malware odierni, Rombertik si fa strada verso il sistema bersagliato mediante l’e-mail: campagne di phishing e spam sono i metodi più diffusi. Una volta installato, comincia a raccogliere informazioni dalla sua “vittima” – credenziali di accesso e altri dati sensibili – agganciandosi al browser Internet di quest’ultima e trasmettendole all’infrastruttura di comando e controllo del malintenzionato. È molto probabile che le informazioni così raccolte vengano poi vendute sul cyber-mercato clandestino in lotti denominati “dump”.
Quello che differenzia Rombertik sono le varie modalità con cui prova a “mimetizzarsi” e a sfuggire agli strumenti di rilevazione, aspetto questo che rende difficili il suo debug e successiva analisi da parte degli analisti. Sebbene molte varianti di malware siano dotate di funzionalità “anti-analisi” integrate – tipicamente auto-rimuovendosi nel caso ne rilevino – Rombertik va più in là. Se si accorge di essere analizzato, tenta immediatamente di sovrascrivere il Master Boot Record (MBR) del disco rigido in cui si trova, impedendo al sistema infetto di avviarsi. Se Rombertik non è in grado di modificare il MBR, procede con la cifratura di tutti i file della vittima presenti nella directory home (per es. C:Documents and Settings<user_name>) con chiavi RC4 generate in modo casuale. In entrambi i casi, terminata l’operazione procede con il riavvio del computer.
Rombertik viene di regola distribuito tramite quello che all’apparenza sembra un innocuo PDF, ma che a un’analisi più attenta si dimostra essere un file .scr, vale a dire uno dei file eseguibili di Windows. L’hacker si affida a tre metodi per convincere una vittima ad aprire il file: creando una mail di phishing convincente che sembri provenire da un indirizzo attendibile, utilizzando un’icona modificata per far credere che il file sia effettivamente un PDF o nominando il file <nome_a_caso>.pdf.scr. Per molti utenti Windows la visualizzazione dell’estensione dei file è disabilitata – dato che si tratta di un’impostazione di default del sistema operativo – per cui è impossibile notare l’estensione .scr incriminata.
I server Command and Control (C&C) sono generalmente accessibili tramite le porte TCP 80, 2000, 20005, 20006.
Rombertik non è il primo malware a utilizzare tecniche avanzate per evitare le analisi dei ricercatori di sicurezza. Dato che il suo scopo sembra essere quello di raccogliere e vendere dati personali confidenziali delle vittime, è molto probabile che la componente blastware sia un meccanismo di difesa contro l’analisi.
Rombertik adotta un complesso approccio multi-step al fine di determinare se è sottoposto ad analisi prima di eseguire il payload. Per prima cosa, comune a numerose tipologie di malware moderni, “dorme” o ritarda ogni esecuzione nella speranza di aggirare l’analisi di base tramite sandboxing. Ma, a differenza di altri virus, non è veramente “dormiente”: scrive infatti un ridotto volume di dati casuali nella memoria quasi un miliardo di volte per guadagnare tempo e ingannare le sandbox che non rilevano in questa attività una tecnica di stallo. Questo metodo assicura inoltre l’ulteriore beneficio di sopraffare i tool di tracciamento.
Se un analista riesce a rilevare Rombertik nell’esecuzione del payload, il malware ha a disposizione altre funzionalità per complicare l’analisi: include un ampio volume di “codice spazzatura”, oltre a un codice di spacchettamento molto complesso che non ha nulla a che fare con il malware. Rombertik può contare su una dozzina di immagini e quasi diecimila funzionalità inutilizzate nella speranza di rendere l’analisi macchinosa ed estremamente complicata.
Il malware distribuito sotto forma di file eseguibili .scr ha quasi la stessa anzianità di Internet. La macchina Windows oggetto dell’attacco può eseguire anche file .vbs, .bat, .com e .pif. A meno di esigenze specifiche, raccomandiamo di bloccare questo tipo di allegati o di file in entrata. Gli hacker sono infatti in grado di utilizzare una varietà di tecniche per nascondere agli utenti le estensioni del malware.
Rombertik ruba informazioni personali scansionando istanze in esecuzione di Firefox, Chrome o Internet Explorer e inserendosi nel browser. Una volta entrato è in grado di leggere qualsivoglia informazione di testo digitata nel browser – inclusi i dati inviati tramite connessione protetta via HTTPS acquisendo il testo prima che venga cifrato e trasmesso.
