Rombertik, el nuevo malware que destroza tu disco para evitar ser detectado

0

Varios expertos de ciberseguridad han informado de un nuevo tipo de malware que toma “medidas extraordinarias” para evitar su detección y posterior análisis forense. De hecho, lo que hace es dejar el disco (por tanto, el ordenador) completamente inservible.

Os presentamos a Rombertik

Rombertik, con ese nombre tan curioso que parece una mezcla entre mascota y robot, es un malware único en su especie debido a las medidas de evasión que utiliza. Tan pronto este detecta el reconocimiento por parte de una herramienta forense, lo que hace Rombertik es intentar eliminar completamente el MBR del equipo, así como los directorios locales. Esto ocasiona reinicios constantes en el equipo infectado.

loop-wm

Rombertik es más un spyware que un malware (aunque muchas veces hablamos de malware porque a la gente le “suena” más). Este spyware intenta interceptar toda la información sobre las actividades que el usuario realiza en Internet, con el objetivo de obtener contraseñas y otra información sensible.

Campaña de Phishing detrás

Cuidado con los intentos de phishing tan de moda hoy en día, porque así es como este curioso spyware podrá infectaros. Los investigadores Ben Baker y Alex Chiu contaron el pasado Lunes como a través de los archivos adjuntos en estos emails se podía infectar nuestros equipos.

Email de Phishing que conlleva la infección con Rombertik

Entonces, una vez cargado en el sistema, Rombertik primero realiza una serie de test para determinar si está ejecutándose en un entorno tipo sandbox (virtualizado). En caso contrario, continuará con sus travesuras:

  1. Se descifrará e instalará en la máquina objetivo
  2. Esto permitirá al spyware disponer de una copia de sí mismo para sobreescribir la primera, conteniendo el núcleo de las capacidades del objeto.

El hallazgo

Tras completar este proceso y antes de comenzar a espiar, Rombertik vuelve a comprobar de nuevo la memoria del equipo en busca de indicios de análisis. Si encuentra algún indicio de tales prácticas, el spyware lanzará una orden al sistema para eliminar el MBR del PC infectado.

Si esto sucede, tened por seguro que el ordenador dejará de ser utilizable al menos durante el tiempo en que no tomemos una serie de medidas: cambiar el disco, desinfectar y reconstruir el MBR, etc. Veremos que el equipo se reinicia sin parar.

Rombertik

Quizá algunos penséis que no es para tanto. Bueno, depende de si contáis con una política de Backup regular y depende en cualquier caso de la información que podamos tener en dicho equipo.

Otros trucos del travieso spyware

Tras realizar una reconstrucción de como trabaja el spyware, se ha encontrado que este contiene un montón de código “sucio” que aún debe analizarse.  Lo que sí se ha comprobado es que:

  • Rombertik, en su versión desempaquetada, pesa 28 KB, mientras que la versión empaquetada tiene un tamaño de 1264 KB (este incluye 75 imágenes y otros datos inútiles).

Rombertik, disección

  • Este spyware consigue mantenerse en ciertos sistemas con sandbox debido a que escribe un byte de datos aleatorio en la memoria del sistema…pero lo hace unas 960 millones de veces. Esto generaría un LOG de un 100 GB, con lo que complica mucho su análisis.
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR