5月6日,思科安全情報研究團隊Talos Group日前宣稱,他們發現一種代號為Rombertik的新式惡意軟件。它可以攔截任何輸入瀏覽器窗口中的純文本,并通過垃圾郵件和釣魚郵件傳播。如果在安全檢查中被發現,這種惡意軟件就會“自爆”,竭力毀掉計算機。
一旦用戶通過點擊鏈接下載Rombertik,它會通過多項檢測。一旦其啟動,并在Windows電腦上運行,就可以查看自己是否被發現。與其他惡意軟件不同的是,Rombertik會嘗試毀掉計算機。
Talos Group的安全專家本·貝克(Ben Baker)與阿歷克斯·邱(Alex Chiu)寫道:“這款惡意軟件之所以十分獨特,是因為一旦其發現與惡意軟件分析相關的特定屬性后(即可能被發現跡象),它就會積極嘗試毀掉計算機。”
Rombertik的首要目標是主引導記錄區(MBR),即計算機開機后加載操作系統前訪問硬盤時所必須要讀取的首個扇區。如果未能成功進入這里,Rombertik就會通過隨機使用RC4密匙加密的方法,迅速毀掉用戶主文件夾中的所有文件。而一旦MBR或主文件夾被加密,計算機就會重啟。MBR此后會陷入無限循環中,從而阻止計算機重新啟動。屏幕上會顯示“Carbon crack attempt, failed”的代碼。
研究人員稱:“Romberik是一款非常復雜的惡意軟件,其設計目的就是侵入用戶瀏覽器閱讀憑證和其他敏感信息,以幫助攻擊者滲透和控制服務器。”
安全專家們發現,Romberik利用社交工程學手段誘使用戶下載、解壓縮以及打開附件,最終導致用戶妥協。在分析樣本時,含有Romberik的郵件似乎來自Windows Corporation。
襲擊者竭力說服用戶查看附件,看他們的業務是否符合目標用戶所在機構。如果用戶下載和解壓縮文件,隨后就會看到類似縮略圖的文件。一旦它被安裝到電腦上,就會自己解壓。大約97%的解壓文件內容看起來都是合法的,包括75張圖片和8000多個實際上沒有任何用處的誘餌功能。Talos Group專家稱:“如此多的功能超過大多數人的分析能力,根本不可能查看每個功能。”
類似Romberik惡意軟件過去曾出現過,比如2013年對韓國目標和去年對索尼娛樂有限公司發動的網絡襲擊。可是Romberik總是保持活躍狀態,將一個字節的數據在內存中寫下9億次,這令追蹤工具分析起來非常復雜。
Talos Group專家稱:“如果分析工具試圖記錄所有9.6億次指令,這些記錄會暴增到100千兆以上。”該公司建議用戶保持良好的安全習慣,比如確保安裝殺毒軟件、確保時常更新、不要點擊未知發件人發送的附件、確保對電子郵件充分掃描等。