New Rombertik Malware Destroys Hard Drives to Avoid Detection

rombertik

นักวิจัยด้านความปลอดภัยพบมัลแวร์รูปแบบใหม่ชื่อว่า “Rombertik” ที่มุ่งเน้นไปที่ความพยายามในการทำลายระบบคอมพิวเตอร์

Rombertik มีความซับซ้อนที่ออกแบบให้โจมตีเบราว์เซอร์ของผู้ใช้ เพื่อเข้าไปอ่านข้อมูลประจำตัวและข้อมูลสำคัญอื่นๆ โดยส่งข้อมูลไปยังเซิร์ฟเวอร์ที่ควบคุมการโจมตีคล้ายกับ Dyre แต่จะต่างกันตรงที่ถูกออกแบบเพื่อมุ่งเป้าไปยังข้อมูลของธนาคาร แต่ Rombertik จะรวบรวมข้อมูลที่สำคัญจากเว็บไซต์ โดยจะแพร่กระจายผ่านทาง Spam mail และ Phishing ซึ่งครั้งแรกจะมุ่งไปที่ Master Boot Record (MBR) ของฮาร์ดไดรฟ์คอมพิวเตอร์

อย่างไรก็ตามหาก Rombertik ไม่ได้เข้าถึง MBR ก็จะเริ่มจู่โจมไฟล์ข้อมูลต่างๆ ในโฟลเดอร์ของ Home ของผู้ใช้ โดยการเข้ารหัสคีย์ในลักษณะของ RC4 Random ซึ่งเมื่อ MBR หรือ Home folder ถูกเข้ารหัส ระบบจะทำการรีสตาร์ทและจะเข้าสู่ MBR จากนั้นก็จะวนเป็น Loop ต่อเนื่องไม่หยุด ซึ่งจะไม่สามารถหยุดวงจรของปัญหาดังกล่าวได้ และบนหน้าจอจะปรากฏคำว่า “Carbon crack attempt, failed” ครั้งแรกที่มัลแวร์นี้ถูกติดตั้งบนคอมพิวเตอร์ก็จะทำการ Unpack ตัวเอง ซึ่งไฟล์จะถูกออกแบบให้ถูกมองว่าเป็นไฟล์ถูกต้องตามปกติ ซึ่งประกอบด้วยไฟล์ภาพ 75 ไฟล์ และไฟล์ที่เป็นไฟล์หลอก 8000 ชุด

สิ่งที่น่ากังวลคือ Rombertik จะถูกปลุกให้ตื่นอยู่ตลอดเวลาและยังมีการเขียนข้อมูล 1 Byte ลงในเมมโมรีถึง 960 ล้านครั้ง ทำให้เกิดความซับซ้อนต่อการวิเคราะห์เครื่องมือในการแก้ไข ซึ่งจะต่างจากมัลแวร์อื่นๆ ที่จะฝังตัวและรอคอยเวลา

ที่มา : thehackernews


Leave a comment!

You must be logged in to post a comment.