Rombertik : un logiciel malveillant qui détruit les PC
Lorsqu’il détecte qu’il fait l’objet d’une analyse de sécurité ou d’un débogage
Le groupe de chercheurs en sécurité Talos de Cisco vient de révéler l’existence d’un malware qui est susceptible de détruire les PC pour échapper à la détection des logiciels de sécurité. Baptisé Rombertik, le logiciel malveillant est doté de multiples couches d’obscurcissement. Il est également conçu avec une fonctionnalité anti-analyse qui lui permet d’échapper aux outils d’analyse. Dans le cas où Rombertik détecte qu’il est en cours d’analyse ou de débogage, il devient très agressif au point de rendre le PC complètement inutilisable et les données quasiment irrécupérables.
Le malware se propage via les spams et les messages de phishing envoyés aux futures victimes. Rombertik se cache dans une pièce jointe qui lorsqu’elle est ouverte, déclenche le processus qui permet de compromettre le PC de la victime.
Dans un exemple présenté par Talos, les attaquants ont convaincu l'utilisateur d’ouvrir une pièce jointe. Le fichier infecté qui semblait être une sorte de PDF au vu de l'icône, était en fait un fichier exécutable .SCR qui contenait le malware. Une fois que l'utilisateur double-clique pour ouvrir le fichier, Rombertik se déploie automatiquement sur sa machine.
A ce stade, le malware commence à effectuer des actions de routine. D’abord, il exécute un ensemble de contrôles anti-analyse pour vérifier s’il s’exécute dans un sandbox. Une fois les vérifications terminées, Rombertik va procéder à son déchiffrement puis s’installer sur l’ordinateur de la victime de sorte à maintenir la persistance. Il effectue ensuite une copie de lui-même qu’il remplace avec les fonctionnalités de base du malware.
L’étape qui suit est celle qui détermine si le logiciel malveillant va remplir sa mission d’espionnage ou non. Elle peut également s’avérer fatale pour l’utilisateur. En effet, Rombertik va effectuer une dernière vérification pour s’assurer qu’il n’est pas en cours d’analyse en mémoire. Si c’est le cas, le malware tente activement de détruire le Master Boot Record (MBR) de sorte à rendre le PC inutilisable. S’il ne dispose pas des autorisations nécessaires, il s’attaque alors aux fichiers dans le dossier utilisateur, qu’il chiffre avec une clé RC4 générée aléatoirement. Ensuite, il redémarre l’ordinateur.
Lors du redémarrage, le malware exécute un code avant l’OS qui entre dans une boucle infinie de sorte à ce que le démarrage ne puisse pas se poursuivre. La réinstallation du système s’impose donc à l’utilisateur.
Mais en modifiant le MBR, Rombertik écrase encore les octets des partitions de disque avec des octets nuls, ce qui rend encore plus difficile de récupérer les données du disque dur endommagé.
Dans le cas où la vérification d’analyse en mémoire s’effectue avec succès, le PC de l’utilisateur échappe à la destruction mais la menace n’est que reportée tant que le malware demeure sur la machine. Rombertik peut alors passer à l’action mais est susceptible de déclencher le processus de destruction de la machine, s’il détecte qu’il est en cours d’analyse ou de débogage.
A cette étape, il analyse tous les processus exécutés par l’utilisateur pour détecter un navigateur en cours d’exécution. Lorsqu’il en trouve un, il s’injecte alors dans le navigateur et peut commencer à collecter les données personnelles de l’utilisateur sans aucune discrimination entre les sites, qu’ils soient bancaires ou non. Le malware utilise des API qui lui permettent de gérer les données en texte clair. Il parvient ainsi à lire et capturer les données que l’utilisateur tape dans son navigateur bien avant qu’elles soient chiffrées si elles doivent être envoyées via HTTPS. Les données sont par la suite envoyées à un serveur contrôlé par les attaquants.
Vu le mode de propagation de la menace, ne pas cliquer sur les pièces jointes provenant des expéditeurs inconnus reste une mesure de protection simple mais efficace contre Rombertik. Les chercheurs suggèrent également la mise en place de politiques de sécurité robustes pour le courrier électronique et l’utilisation de logiciels de sécurité sûrs et maintenus à jour.
Source : Cisco Blogs
Et vous ?
Qu’en pensez-vous ?
Partager