Um grupo de pesquisadores do Talos Group da Cisco Systems descobriu aexistência de um novo tipo de malware que é capaz de tomar medidas impressionantes para evitar processos de detecção e análise. Entre as ações mais desesperadas de que o software nocivo é capaz está deletar todos os dados do seu disco rígido e, dessa forma, deixar seu computador inoperável.
Nomeado Rombertik pelos cientistas, o malware é um programa complexo que indiscriminadamente coleta tudo o que o usuário da máquina infectada faz na internet, com o provável objetivo de obter logins, senhas e outros dados sensíveis. O método de instalação, no entanto, não poderia ser mais batido: a infecção acontece ao clicar em anexos inclusos em emails maliciosos.
Mexendo com quem não está quieto
Fazendo a engenharia reversa do Rombertik, os pesquisadores descobriram que o software possui múltiplos níveis de funções de ofuscação e antianálise para tornar sua detecção mais difícil e para impedir que outras pessoas além de seu criador entendam seu funcionamento. Quando um dos seus componentes detecta que o programa está sendo estudado por um alguém, ele rapidamente se autodestrói – levando junto todos os dados do HD da vítima.
Ao perceber que está sendo analisado, o Rombertik toma uma série de medidas para conseguir sobrescrever o Master Boot Record (MBR) do seu computador e, ao conseguir fazer isso, ele reinicia a máquina e a prende em um loop infinito que impede sua utilização. Sempre que tentarem iniciar a máquina, os usuários ficarão presos em uma tela com os dizeres “Carbon crack attempt, failed”.
O MBR reescrito pelo malware contém dados sobre as partições de discos do computador e substitui seus bytes por informações nulas, tornando ainda mais difícil recuperar algo do HD sabotado. “Embora a talos tenha observado técnicas de antianálise e antidebugging em amostras passadas de malwares, o Rombertik é o único a ativamente tentar destruir o computador se detectar certos atributos associados com análises”, escreveram os estudiosos.
Bichinho esperto
Antes de sabotar seu computador, no entanto, o Rombertik usa outros métodos para tentar guardar seus próprios segredos. Para tentar evitar as ferramentas usadas para observar malwares em ambientes controlados de laboratório, o programa repete 960 milhões de vezes a escrita de um byte de dados aleatórios, o que causa um atraso capaz até de impedir que os comportamentos do software sejam documentados com precisão.
“Se uma ferramenta de análise tentasse registrar todas as 960 milhões de instruções de escrita, o registro cresceria para mais de 100 GB. Mesmo que o ambiente de estudo fosse capaz de lidar com um log desse tamanho, levaria mais de 25 minutos só para gravar esses dados em um disco rígido típico. Isso complica tudo”, afirmam os pesquisadores.
Depois de entender como o malware funciona e conseguir impedir que ele perceba que está sendo estudado, os cientistas do Talos conseguiram observar a função real do Rombertik. Quando o software detecta que um usuário está usando um navegador como Firefox, Chrome ou Internet Explorer, ele se insere no processo de funcionamento e passa a copiar tudo o que é digitado pelo usuário, independentemente do site que estiver aberto.
Precauções
Dessa forma, ele é capaz de ler qualquer login e senha antes que possam ser enviados via HTTPS, informações que então são enviadas para o criador do malware. Para evitar a infecção pelo Rombertik ou outros programas similares, o Talos Group recomenda manter seu antivírus atualizado, não clicar em anexos enviados por desconhecidos e adotar políticas sérias de segurança para emails.
