Passer au contenu

Tombertik, le malware qui détruit votre ordinateur quand il est détecté

Une nouvelle génération de malwares semble capable d’éviter les méthodes d’analyses et saborde le PC quand elle est malgré tout détectée.

La lutte entre les spécialistes en sécurité informatique et les développeurs de malwares s’apparentent à une course de vitesse, au cours de laquelle les premiers doivent tenter de rattraper le retard pour mieux contrecarrer les seconds.
Il semblerait que leur tâche soit désormais plus ardue. Des chercheurs du laboratoire de sécurité Cisco Talos ont détecté depuis le début d’année une nouvelle génération d’espiogiciels, capables d’enregistrer les touches frappées pour dérober un maximum de données : identifiants, mots de passe, données bancaires, etc.

Brouiller les pistes et compliquer la tâche

Un des représentants de ces nouveaux logiciels malveillants, baptisé Rombertik, s’étend désormais de plus en plus et ne semble pas limiter son activité à un secteur économique ou à une zone géographique. Il arrive dans les boîtes mails sous forme d’une pièce jointe, qui est en fait un script. Une fois activé, il est trop tard.
Mieux vaut se dispenser de l’ouvrir car il est difficile pour les spécialistes en sécurité d’en venir à bout, malgré les progrès fait dans le domaine ses dernières années, car Rombertik est suffisamment « intelligent » pour se savoir surveillé et analysé.
Car Rombertik embarque plusieurs outils et subterfuges pour se dérober à l’attention des outils d’analyses statiques et dynamiques. Il s’entoure notamment de code inutile pour rendre l’analyse plus longue et pénible. Il est également capable d’échapper aux sandboxes, ces zones d’exécutions limitées et sécurisées. Pour compliquer la tâche des outils d’analyse, il produit également une grosse quantité de données, de logs. Ce sont ainsi plus de 100 Go de logs qu’il faut passer au crible pour s’assurer qu’il s’agit d’un malware. « Même si l’environnement d’analyse était capable de gérer un log d’une telle taille, cela prendrait plus de 25 minutes simplement pour l’écrire sur un disque dur classique », explique le post sur le blog de Cisco Talos.
Cela permet non seulement de compliquer l’analyse mais également d’échapper à certains outils. Après de nombreuses vérifications menées par le malware pour prendre la température de l’environnement dans lequel il s’installe, Rombertik finit pas s’installer en décompactant son code exécutable. Un code « qui est monstrueux et est de nombreuses fois plus complexes que le code anti-analyse » utilisé plus tôt, remarquent les experts de Cisco Talos. « Le résultat est un cauchemar » à suivre pour un spécialiste qui cherche à comprendre Rombertik.

Destruction massive

Mais ce n’est pas fini. Le malware va ensuite s’assurer que son code n’a pas été altéré. Si c’est le cas, il va tout d’abord essayer d’écraser le Master Boot Record (MBR), la partie du disque dur qui permet le démarrage de l’OS. S’il échoue, il se lancera alors dans de grandes manœuvres destructrices. Il chiffrera tous les fichiers présents dans le répertoire de l’utilisateur avec une clé RC4 générée aléatoirement, rendant ses données inaccessibles. « Ce qui est intéressant avec ce malware, c’est qu’il n’a pas une fonction malveillante, mais plusieurs », s’enthousiasment presque les chercheurs qui voient à ce genre de malware un avenir radieux. Car, les attaquants qui n’ont pas eu l’idée de ce type de logiciel vont s’empresser de le copier tant il est efficace. Une fois le MBR modifié ou les fichiers chiffrés, l’ordinateur redémarre indéfiniment, incapable de démarrer le système d’exploitation…

A lire aussi :
Une faille zero-day permet de faire crasher iPhone et iPad indéfiniment
– 22/04/2015

Source :
Blog de Cisco Talos

Threatpost

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre Fontaine