ALERTAS | Noticias | 06 MAY 2015

Rombertik, un peligroso spyware con funcionalidad anti-análisis

Según investigadores de Cisco Talos, Rombertik presenta hasta tres controles anti-análisis, pudiendo llegar a destruir todos los archivos en la carpeta de inicio del usuario si detecta que está siendo analizado y auditado.
seguridad_spyware_malware
Hilda Gómez

Cisco Talos informa del descubrimiento de un nuevo ejemplar de spyware. Bautizado como Rombertik, el malware presenta un comportamiento similar a otras variantes de spyware como Dyre, pero presenta un lado destructivo nunca visto hasta ahora.

Según Craig Williams, director de seguridad de Cisco, Rombertik tiene una serie de características inusuales y complejas, la mayoría de las cuales están diseñadas para evadir la detección y el análisis. Por ejemplo, una vez que el ejecutable malicioso se lanza desde un mensaje de phishing o spam, el malware contiene volúmenes de código basura que tendrían que ser analizados (1264 Kb que incluye 75 imágenes y 8.000 funciones que nunca se utilizan).

Como otros ejemplares de malware, éste también contiene capacidades para detectar y evadir sandboxes, pero a diferencia de otros que permanecen dormidos durante un periodo de tiempo antes de ejecutarse, Rombertik escribe un byte de datos que se memoriza 960 millones de veces. Los sandboxes no pueden diferenciar esta táctica del comportamiento normal, y además, si todos esos datos son registrados, el tamaño del registro excedería los 100Gb y llevaría media hora escribirlo en el disco duro. Este es sólo uno de los tres controles anti-análisis del malware.

Si el malware pasa los sandboxes, se instalará en la carpeta de inicio y en AppData para asegurar su persistencia. Una vez instalado, si Rombertik detecta alguna alteración que indique que esta siendo analizado, primero intentará sobrescribir el Master Boot Record del disco físico. Si eso no funciona, destruye todos los archivos en la carpeta de inicio del usuario, cifrando cada archivo con una clave RC4 generada aleatoriamente.

"Puede sonar a cliché, pero estamos ante una carrera armamentista digital y aquí estamos viendo la próxima evolución”, explica Williams. “Ahora si el malware se da cuenta de que está siendo auditado, el binario destruirá el sistema. Es un simple caso de atacantes tratando de disuadir a los investigadores de analizar una muestra".

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información