史上最狡猾恶意软件现身:被发现后会自爆

5月6日,思科安全情报研究团队TalosGroup宣布发现了一种新的恶意软件,代号为Rombertik 。它可以拦截任何输入浏览器窗口的纯文本,并通过垃圾邮件和网络钓鱼电子邮件传播 。如果在安全检查中发现,这个恶意软件就会“自爆”,想尽办法破坏电脑 。

一旦用户通过点击链接下载Rombertik,它将通过许多测试 。一旦它启动并在Windows计算机上运行,您就可以看到自己是否被发现了 。与其他恶意软件不同,Rombertik会试图破坏计算机 。

TalosGroup的安全专家BenBaker和AlexChiu写道:“这种恶意软件是独一无二的,因为一旦它发现与恶意软件分析相关的特定属性(也就是说,它可能会被发现迹象),它就会主动尝试破坏计算机 。”

Rombertik的主要目标是主引导记录区(MBR),这是在计算机开机后加载操作系统之前访问硬盘时必须读取的第一个扇区 。如果您未能成功进入此处,Rombertik将通过随机使用RC4密钥加密来快速销毁用户个人文件夹中的所有文件 。一旦MBR或主文件夹被加密,计算机将重新启动 。然后,MBR将陷入无限循环,从而阻止计算机重新启动 。屏幕上将显示“碳裂尝试,失败”的代码 。

研究人员表示:“Romberik是一种非常复杂的恶意软件,旨在入侵用户的浏览器读取凭证等敏感信息,从而帮助攻击者渗透并控制服务器 。”

安全专家发现,Romberik利用社交工程诱导用户下载、解压、打开附件,最终导致妥协 。分析样本时,包含Romberik的邮件似乎来自Windows公司 。

攻击者尽力说服用户检查附件,看看他们的业务是否符合目标用户的组织 。如果用户下载并解压缩文件,他将看到一个类似于缩略图的文件 。一旦它被安装到计算机上,它就会自己解压 。大约97%的提取文件看起来是合法的,包括75张图片和8000多个实际上无用的诱饵功能 。Talos集团专家表示:“有太多的功能超出了大多数人的分析能力,不可能查看每一个功能 。”

类似Romberik的恶意软件过去也出现过,比如2013年对韩国目标的网络攻击,以及去年对索尼娱乐有限公司的攻击 。但是Romberik始终处于活动状态,在内存中写入一个字节的数据9亿次,这使得跟踪工具的分析非常复杂 。

【史上最狡猾恶意软件现身:被发现后会自爆】 Talos集团专家表示:“如果分析工具试图记录所有9.6亿条指令,这些记录将激增至100多千兆位 。”该公司建议用户保持良好的安全习惯,例如确保安装防病毒软件,确保经常更新,不要点击未知发件人发送的附件,并确保电子邮件得到全面扫描 。

    推荐阅读