Rombertik, un malware furtif qui vise à rendre les PC inertes

Encore un logiciel malveillant destructeur. Le groupe Talos vient en effet d’identifier Rombertik, un logiciel malveillant qui vise, in fine, à détruire le Master Boot Record (MBR), ce secteur clé des disques dur stockant les informations relatives à leur partitionnement.

Dans un billet de blog, les chercheurs du groupe Talos décrivent « un logiciel malveillant complexe conçu pour se connecter au navigateur Web de l’utilisateur pour lire ses identifiants et d’autres informations sensibles en vue de les exfiltrer, à la manière de Dyre ». Et de préciser que Rombertik se propage via des campagnes de hameçonnage.

Mais comme Dyre, Rombertik lance, juste après contamination, « un premier jeu de vérifications » visant à le protéger contre les analyses et à savoir « s’il s’exécute dans un bac à sable ». Pour leurrer ceux-ci, au lieu de retarder son exécution, il « écrit un octet de données aléatoires en mémoire 960 millions de fois ». De quoi passer le temps, mais de manière plus anodine…

S’il estime se trouver dans un environnement sûr, le logiciel malveillant « passe au déchiffrement de ses fichiers et s’installe sur l’ordinateur de sa victime de manière persistante ». Mais Rombertik continue d’avancer avec prudence : après installation, avant de commencer à espionner sa victime, il vérifie qu’il n’est pas analysé en mémoire vive. Ce n’est que s’il estime encore fois en sécurité que Rombertik tente de détruire le MBR du disque dur de l’ordinateur qu’il a contaminé, le rendant inutilisable sans reformatage. Et s’il n’y parvient pas, il détruit tous les fichiers du dossier personnel de l’utilisateur en les chiffrant avec une clé RC4 aléatoire…

Mais pour donner un aspect légitime et inoffensif, Rombertik embarque plus de 8000 fonctions inutiles et 75 images : « 97 % du fichier compressé est dédié à faire passer le fichier pour légitime ».