Rombertik - Rombertik
Rombertik é um spyware projetado para roubar informações confidenciais de alvos usando Internet Explorer, Firefox ou Chrome executado em computadores Windows. Foi divulgado pela primeira vez por pesquisadores do Cisco Talos Security and Intelligence Group.
Operação
Rombertik emprega várias técnicas para dificultar a análise ou a engenharia reversa. Mais de 97% do arquivo é código ou dados desnecessários para sobrecarregar os analistas. Ele percorre o código centenas de milhões de vezes para atrasar a execução e verifica os nomes de arquivos e usuários usados pelos sandboxes de análise de malware .
Se Rombertik detectar uma modificação no tempo de compilação ou recurso binário na memória, ele tenta sobrescrever o Master Boot Record (MBR) no disco rígido principal. O MBR contém o código necessário para inicializar o sistema operacional, bem como informações sobre onde as partições são armazenadas no disco rígido. Embora os dados do usuário permaneçam no disco rígido, o sistema operacional não pode acessá-lo sem o MBR. Em alguns casos, pode ser possível recuperar dados de um disco rígido com um MBR modificado.
Se o malware não tiver as permissões necessárias para sobrescrever o MBR, ele criptografará cada arquivo no diretório inicial da vítima. Essa técnica de criptografia de diretório é semelhante ao ransomware , mas o Rombertik não tenta extorquir dinheiro de suas vítimas. Arquivos criptografados com uma chave forte podem ser quase impossíveis de recuperar.
Ps instalado, ele injeta código em processos em execução do Internet Explorer, Firefox e Chrome. O código injetado intercepta os dados da web antes de serem criptografados pelo navegador e os encaminha para um servidor remoto.