Diese Malware wird von Cisco identifiziert und die Informationen über diesen PC, der Malware zerstört, in ihrem Blog der Talos Group freigegeben. Rombertik kann beliebigen Text abfangen, der als Eingabe in einem Browserfenster eingegeben wurde. Laut Cisco wird dies derzeit durch Phishing- und Spam-Nachrichten verbreitet.
Wenn die Rombertik-Malware auf einem System analysiert wird, zerstört sie den Master Boot Record (MBR) des PCs. Es liest die Zugangsdaten des Benutzers und andere persönliche Daten und leitet sie an den Angreifer weiter. Dies ist ähnlich wie bei Dyre, mit dem die Bankdaten gesammelt werden sollen. Der Geltungsbereich von Rombertik ist viel weiter und sammelt Daten von allen Arten von Websites.
Wie funktioniert Rombertik?
Wie bereits erwähnt, wird Rombertik über Phishing- und Spam-Nachrichten verbreitet. Der Angreifer könnte die Malware mithilfe verschiedener Social-Media-Taktiken oder E-Mails an sein Ziel senden. Wenn das Ziel die angehängten Dokumente herunterlädt, wird beim Entpacken des Ziels eine Datei angezeigt, die wie eine Miniaturansicht eines Dokuments aussieht. Es handelt sich jedoch um eine ausführbare.SCR-Datei, die die tödliche Rombertik enthält.
Sobald die Datei angeklickt ist, beginnt Rombertik mit der Ausführung. Es prüft, ob es in der Sandbox läuft. Danach installiert es sich innerhalb des Zielsystems und ungefähr 97% der entpackten Datei sieht legitim aus. Um den Anwendungen auszuweichen, die versuchen, sie zu verfolgen, werden 960 Millionen zufällige Bytes in den Speicher geschrieben. Wenn also eine Anwendung versucht, die Malware zu erkennen, wird sie mit mehr als 100 GB-Protokolldateien überschwemmt.
Wenn der Master Boot Record nicht abgespielt werden kann, werden alle Dateien im Benutzerordner des Benutzers zerstört, d. H. C: Dokumente und Einstellungen Administrator mit einem RC4key.
Schlussfolgerung und Vorsichtsmaßnahmen:
Laut Cisco ist Rombertik ein komplexes Stück mehrschichtiger Malware. Die Benutzer müssen gute Sicherheitsmaßnahmen einhalten, z. B. das Aktualisieren des Antivirenprogramms, das Vermeiden von Klicks auf Anhänge aus unbekannten Quellen und die sorgfältige Behandlung von E-Mails. Cisco hat auch einige Sicherheitsprodukte erwähnt, um die Benutzer vor solchen Bedrohungen zu schützen.
Via: Cisco
Teilen Sie diese Nachricht mit Ihren Freunden und machen Sie sie auf diesen todbringenden Selbstmordattentäter Rombertik aufmerksam.
Empfohlen: USBkill - Code, der USB-Laufwerke in PC-Killerwaffen verwandelt
