Rombertik : si vous tentez de me déloger, je bousille votre PC
Une équipe de sécurité IT de Cisco a déniché un malware coriace qui vise les PC. Si Rombertik se sent en péril, il optera pour une solution radicale…
Takos, un groupe de chercheurs en sécurité IT de Cisco, a découvert un malware assez redoutable.
Rombertik est doté de multiples couches visant à camoufler sa présence sur un PC et de fonctions visant à écarter les outils de détection et d’analyse. Mais si jamais on parvient à trouver un moyen de le débusquer, alors il passe en mode sabordage en détruisant l’ordinateur hôte.
Dans les détails fournis dans une contribution blog du groupe Thalos de Cisco, on apprend que Rombertik se propage via les spams et les messages de phishing associés à une pièce jointe.
En cliquant sur le dernier élément qui cache un fichier vérolé, c’est le début de la fin pour l’utilisateur du PC. Il faut un peu de social engineering pour convaincre le destinataire du mail d’ouvrir la pièce jointe.
Mais avec un peu d’imagination dans la présentation dans le corps du mail (un message professionnel pour vérifier si le business en cours est en ligne avec les objectifs d’une entreprise par exemple), on y arrive.
Rombertik est en mesure de déterminer les techniques d’analyse par sandbox (un compartiment virtuel servant à isoler une menace pour analyse).
Le malware est doté d’un mode « survie » et prend des mesures visant à éviter l’éradication. En se clonant par exemple à l’intérieur du système et en répliquant ces capacités principales de nuisance.
Pour détourner l’attention, il est également en mesure de produire du code pourri en volume, qui va ralentir considérablement le travail d’analyse. Et ce, toujours dans le but de brouiller les pistes.
Le groupe Thalos de Cisco qualifie Romberik de morceau de malware complexe conçu pour s’emparer des droits d’accès à des services accessibles via un navigateur Web et d’exfiltrer des données sensibles vers un serveur pirate.
Une méthode similaire à Dyre. A la différence que ce dernier malware vise en priorité les données bancaires. Rombertik, lui, collecte sans complexe tout élément en provenance de n’importe quel sites Web.
Le terrain est vraiment miné pour déloger le malware. Si Rombertik considère que sa mission de backdoor à but d’espionnage est vraiment compromise il optera alors pour une solution radicale.
Le malware va tenter de détruire le Master Boot Record, correspondant à la zone d’amorçage pour exploiter un disque dur. Après une phase de reboot automatique à l’insu de l’utilisateur, l’ordinateur sera inutilisable.
Cette vélocité redoutable est un signe particulier de Rombertik.
Pour éviter ce genre de mésaventures, il vaut mieux rappeler à tout utilisateur de disposer d’un bon logiciel anti-virus sur son poste et d’éviter de cliquer sur des pièces jointes douteuses d’un mail émanant d’une personne ou d’une adresse mail inconnues ou suspectes.
« C’est mieux quand c’est dit. Y’a plus qu’à »
(Crédit photo : Shutterstock.com – Droit d’auteur : Spectral-Design)