資安新聞
[國際] 危險惡意程式Rombertik現蹤
網路設備與路由軟體業者思科(Cisco)安全情報研究團隊Talos Group於5/4在官方部落格(Cisco Blog)揭露一支名為Rombertik的惡意程式,這是一支具有多層反分析能力的間諜程式,特別的是它採取罕見的自我保護措施,一旦發現自己已被偵測,就會移除受害電腦的主開機磁區(Master Boot Record, MBR),導致受害電腦無法正常開機,藉此降低被分析的機率。Talos Group指出,Rombertik是個複雜的惡意程式,它會附著在使用者的瀏覽器上以讀取各種憑證或機密資訊,並將數據傳送到由駭客掌控的伺服器上,而且Rombertik不只鎖定銀行資訊,還毫無限制地蒐集使用者於各式網站上所曝露的資訊。
Rombertik是藉由垃圾郵件與網路釣魚訊息來感染使用者的電腦,駭客透過各種方式引誘使用者下載、解壓縮或開啟不明的檔案。根據Talos的安裝測試,Rombertik執行的第一步就是進行反分析的檢查,確定自身未被防毒軟體偵測或處於沙箱(Sandbox)之中,完成檢查之後才會進行解壓縮與安裝,安裝後則會執行另一個拷貝版,再以一個含有核心功能的版本覆蓋此一拷貝版。在開始準備執行任務前,還會再進行一次反分析檢查,假設發現自己的身分曝露,即會嘗試摧毀系統的MBR,讓電腦無法正常開機,只能重新安裝作業系統來回復。
Rombertik的最終目的是竊取使用者資訊。它會掃描使用者正在執行的程序來判斷是否有執行中的瀏覽器,然後把自己注入Chrome、Firefox或IE的執行程序中,讀取使用者輸入的所有文字,藉以竊取使用者在所有瀏覽網站中的使用者帳號與密碼。Talos建議所有使用者須安裝最新版的防毒軟體,不要開啟來路不明的郵件及附加檔案,以降低受害的機率。
資料來源:
http://blogs.cisco.com/security/talos/rombertik
http://arstechnica.com/security/2015/05/04/super-secretive-malware-wipes-hard-drive-to-prevent-analysis/
http://www.pcworld.com/article/2918632/rombertik-malware-destroys-computers-if-detected.html
http://www.ithome.com.tw/news/95688
技術服務中心整理
沒有留言:
張貼留言