Attenzione al malware Rombertik, MBR a rischio
Allerta per un nuovo malware, chiamato Rombertik, individuato nel web capace di crittografare i dati dell’utente e danneggiare il Master Boot Record.
Si chiama Rombertik la minaccia scoperta dal Talos Group di Cisco, l’élite di ricercatori della multinazionale americana specializzati in ricerca e analisi di minacce informatiche avanzate. I ricercatori Ben Baker e Alex Chiu hanno isolato e successivamente descritto il nuovo malware in un articolo; la minaccia si propaga tramite spam ed e-mail di phishing, con l’intenzione di rubare informazioni dal PC colpito.
Mettendo già in chiaro che l’infezione si diffonde principalmente tramite social engineering (lo studio del comportamento individuale di una persona al fine di carpire informazioni utili), Rombertik, una volta nel PC, tende a camuffarsi in modo tale da rendersi di difficile analisi agli occhi dei ricercatori informatici. Il file, di dimensioni rilevanti (circa 1.2 MB), è composto dal 97% di codice inutile, messo lì solo per deviare l’attenzione di possibili malware researcher. Il flusso di codice del malware è scritto appositamente per rendere lenta e laboriosa l’estrazione del vero payload, le cui dimensioni sono in realtà molto più piccole – circa 30KB di codice eseguibile.
Il malware, una volta colpito il PC, attacca i browser principali – Internet Explorer, Chrome, Firefox – rubando informazioni, credenziali di accesso, dati personali dalle connessioni Internet, anche protette da SSL, e invia il tutto al server di controllo localizzato all’indirizzo webcentozos.org.in. Tuttavia la parte più pericolosa di questo malware è la sua capacità di autodifesa: se “scopre” infatti di essere analizzato, esegue un meccanismo distruttivo per il PC infetto, tentando di cancellare completamente la tabella delle partizioni del Master Boot Record e crittografando tutti i file presenti nella home directory dell’utente infetto.
Marco Giuliani, CEO della società italiana di sicurezza informatica Saferbytes che si occupa di threat intelligence e analisi malware, sentito per l’occasione da Hardware Upgrade, ha avuto modo di analizzare l’infezione e di fornire un commento a riguardo:
“L’infezione in questione, sebbene abbia catturato l’attenzione di molti ricercatori, in realtà è una tipologia di infezione vecchio stile, tecnicamente non all’avanguardia come molte altre infezioni ad oggi in circolazione. Per le modalità di infezione ed attacco è molto efficace contro chi sta ancora utilizzando Windows XP, mentre comincia ad essere molto meno efficace nei confronti degli utilizzatori di Windows Vista,7,8, 8.1. La routine di attacco contro il Master Boot Record è totalmente inefficace contro i nuovi sistemi che utilizzano UEFI. Inoltre l’infezione non tende in alcun modo a nascondersi una volta in esecuzione nel PC, è perfettamente visibile tra i processi di sistema attivi.
Purtroppo, pur essendo un’infezione tecnicamente arretrata e di semplice progettazione, può comunque far molti danni. Soprattutto la parte di crittografia dei dati – che vengono cifrati con algoritmo RC4 e chiave generata in maniera casuale utilizzando il PRNG di Windows – mette in evidenza come stiamo vivendo il periodo informatico dove sempre più vi è bisogno di capire che il backup e la sicurezza dei dati personali sono più che mai critici. Questa infezione, così come i vari ransomware che colpiscono e poi chiedono il riscatto per recuperare i dati cifrati, dovrebbero far capire come un approccio alla sicurezza basato su backup regolari dei dati sia oggi più che mai fondamentale.”
Una nota curiosa messa in evidenza da Giuliani è la presenza all’interno del malware di stringhe che fanno riferimento ad una società di sicurezza italiana, la NoVirusThanks s.r.l. Gli autori del malware, ci spiega Giuliani, hanno probabilmente inserito queste stringhe per depistare le analisi e rendere più veritiero il file principale dell’infezione.
Ad oggi, tuttavia, tutte le soluzioni antivirus hanno già aggiornato le proprie firme virali per individuare e rimuovere la minaccia. (fonte)
Valuteremo insieme se necessitate di un semplice consiglio, magari tramite le oltre 1.200 note già pubblicate, o se per risolvere preferite essere seguiti passo passo tramite un servizio professionale di teleassistenza (ai nostri fan, ma solo a loro, costa pochi euro). Siamo in grado di risolvere la quasi totalità dei problemi in teleassistenza, senza che voi o il vostro computer lasci la vostra abitazione, controllando insieme a noi cosa viene fatto sul vostro sistema. Altre informazioni 
