Un nuevo programa malicioso destruye el MBR de los equipos que tratan de eliminarlo

Se ha descubierto un nuevo programa informático que opera bajo el lema de que una buena ofensa es la mejor defensa. El programa malicioso Rombertik tiene un método de defensa radical: destruye el MBR o cifra los datos del equipo de su víctima si detecta que un programa de seguridad está tratando de erradicarlo.

La compañía de telecomunicaciones Cisco descubrió el dramático programa malicioso, que está diseñado para espiar la actividad del usuario en el navegador y robar sus credenciales de acceso a sitios web e información personal para compartirla con los cibercriminales que lo controlan.

Rombertik se propaga mediante mensajes spam y phishing que distribuye de forma masiva. Uno de los ejemplares analizados venía escondido en un archivo comprimido que ofrecía un documento PDF, pero que en realidad era el archivo ejecutable de un protector de pantalla .SCR con el programa malicioso.

El malware cuenta con varias capas de protección contra los programas y analistas de seguridad. Tan pronto como el programa se instala en el equipo, realiza una serie de revisiones para asegurarse de que no se encuentra en una caja de arena y no se lo está analizando en el sistema en el que se está alojando. Si descubre que está a salvo, procede con la infección. Pero, si se siente amenazado por las medidas de seguridad del equipo, toma control de la situación y elimina el Registro de Arranque Maestro (MBR), lo que tiene un fuerte impacto en la capacidad de arranque del ordenador víctima. Si no logra acceder al MBR, el programa cifra todas las carpetas del usuario con una llave RC4 aleatoria.

Pero esto no es suficiente para sentirse a salvo: el programa está empaquetado con 75 imágenes y 8.000 funciones inútiles que tienen la única función de saturar a los analistas con información para que les sea imposible explorarlo en profundidad. De hecho, el 97% del contenido del archivo desempaquetado es relleno que tiene la sola función de ocupar espacio y confundir a los analistas de seguridad.

Por si esto fuera a poco, Rombertik escribe un byte de datos al azar en la memoria más de 900 millones de veces para hacer frente a la caja de arena. Esto implica que cualquier herramienta de análisis que intente documentar estas instrucciones ocuparía más de 100 GB en hacerlo.

Pero las novedosas capacidades del programa tampoco lo hacen invencible. Craig Williams, líder técnico de Cisco Talos, explicó que si bien Rombertik puede evadir algunas capas de seguridad, no puede burlarlas todas. “Este es el ejemplo perfecto de la utilidad de una defensa en capas”, afirmó Williams.

Fuentes
New ‘Rombertik’ malware destroys master boot record if analysis function detected SC Magazine
Complex Rombertik Malware Corrupts Drives to Prevent Code Analysis eWeek
This terrifying malware destroys your PC if detected PC World

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *