Takos, un groupe de chercheurs en sécurité IT de Cisco, a découvert un malware assez redoutable.
Rombertik est doté de multiples couches visant à camoufler sa présence sur un PC et de fonctions visant à écarter les outils de détection et d’analyse. Mais si jamais on parvient à trouver un moyen de le débusquer, alors il passe en mode sabordage en détruisant l’ordinateur hôte.
Dans les détails fournis dans une contribution blog du groupe Thalos de Cisco, on apprend que Rombertik se propage via les spams et les messages de phishing associés à une pièce jointe.
En cliquant sur le dernier élément qui cache un fichier vérolé, c’est le début de la fin pour l’utilisateur du PC. Il faut un peu de social engineering pour convaincre le destinataire du mail d’ouvrir la pièce jointe.
Mais avec un peu d’imagination dans la présentation dans le corps du mail (un message professionnel pour vérifier si le business en cours est en ligne avec les objectifs d’une entreprise par exemple), on y arrive.
Rombertik est en mesure de déterminer les techniques d’analyse par sandbox (un compartiment virtuel servant à isoler une menace pour analyse).
Le malware est doté d’un mode « survie » et prend des mesures visant à éviter l’éradication. En se clonant par exemple à l’intérieur du système et en répliquant ces capacités principales de nuisance.
Pour détourner l’attention, il est également en mesure de produire du code pourri en volume, qui va ralentir considérablement le travail d’analyse. Et ce, toujours dans le but de brouiller les pistes.
Le groupe Thalos de Cisco qualifie Romberik de morceau de malware complexe conçu pour s’emparer des droits d’accès à des services accessibles via un navigateur Web et d’exfiltrer des données sensibles vers un serveur pirate.
Une méthode similaire à Dyre. A la différence que ce dernier malware vise en priorité les données bancaires. Rombertik, lui, collecte sans complexe tout élément en provenance de n’importe quel sites Web.
Le terrain est vraiment miné pour déloger le malware. Si Rombertik considère que sa mission de backdoor à but d’espionnage est vraiment compromise il optera alors pour une solution radicale.
Le malware va tenter de détruire le Master Boot Record, correspondant à la zone d’amorçage pour exploiter un disque dur. Après une phase de reboot automatique à l’insu de l’utilisateur, l’ordinateur sera inutilisable.
Cette vélocité redoutable est un signe particulier de Rombertik.
Pour éviter ce genre de mésaventures, il vaut mieux rappeler à tout utilisateur de disposer d’un bon logiciel anti-virus sur son poste et d’éviter de cliquer sur des pièces jointes douteuses d’un mail émanant d’une personne ou d’une adresse mail inconnues ou suspectes.
« C’est mieux quand c’est dit. Y’a plus qu’à »
(Crédit photo : Shutterstock.com – Droit d’auteur : Spectral-Design)
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…