Le malware Rombertik détruit les disques durs pour éviter la détection
Les chercheurs en sécurité informatique ont découvert une nouvelle catégorie des malware qui utilise des techniques avancées pour échapper à la détection et qui peut rendre la machine infectée inutilisable.
Surnommé Rombertik, dés qu’il détecte un outil d’analyse il tente de supprimer le Master Boot Record (MBR) et les répertoires de démarrage rendant ainsi le redémarrage de la machine impossible.
Rombertik est un logiciel espion, il vise à recueillir tout ce qu’un utilisateur fait en ligne afin d’obtenir des données confidentielles et personnelles.
Il infecte les utilisateurs via une compagne de phishing. Rombertik s’installe dés qu’un utilisateur clique sur des pièces jointes malveillantes attachées à des emails de phishing, les chercheurs de sécurité de CISCO Ben Baker et Alex Chiu ont publié le lundi passé ce qui suit:
Une fois installé dans la machine, Rombertik exécute une série d’anti analyse pour vérifier qu’il n’est pas dans un environnement de Sandboxing.
Dans le cas où il n’est pas dans un Sandboxing, il décrypte et s’installe lui-même sur la machine victime. Ensuite il lance une deuxième copie de lui-même et des fonctionnalités de base pour le cyber espionnage.
Après avoir terminé ce processus et avant de commencer l’espionnage il lance une vérification finale pour s’assurer qu’il n’est pas en cours d’analyse.
Dans le cas ou il trouve une indication d’analyse il détruit le MBR puis il redémarre la machine, ce qui la laisse en boucle de redémarrage.
Si le malware se rend compte qu’il est sous le microscope des spécialistes de la sécurité ou de tout autre malware rival, Rombertik va s’auto-détruire, en prenant le contenu du disque dur de la victime avec lui.