Takos, un groupe de chercheurs en sécurité IT de Cisco, a découvert un malware assez redoutable.
Rombertik est doté de multiples couches visant à camoufler sa présence sur un PC et de fonctions visant à écarter les outils de détection et d’analyse. Mais si jamais on parvient à trouver un moyen de le débusquer, alors il passe en mode sabordage en détruisant l’ordinateur hôte.
Dans les détails fournis dans une contribution blog du groupe Thalos de Cisco, on apprend que Rombertik se propage via les spams et les messages de phishing associés à une pièce jointe.
En cliquant sur le dernier élément qui cache un fichier vérolé, c’est le début de la fin pour l’utilisateur du PC. Il faut un peu de social engineering pour convaincre le destinataire du mail d’ouvrir la pièce jointe.
Mais avec un peu d’imagination dans la présentation dans le corps du mail (un message professionnel pour vérifier si le business en cours est en ligne avec les objectifs d’une entreprise par exemple), on y arrive.
Rombertik est en mesure de déterminer les techniques d’analyse par sandbox (un compartiment virtuel servant à isoler une menace pour analyse).
Le malware est doté d’un mode « survie » et prend des mesures visant à éviter l’éradication. En se clonant par exemple à l’intérieur du système et en répliquant ces capacités principales de nuisance.
Pour détourner l’attention, il est également en mesure de produire du code pourri en volume, qui va ralentir considérablement le travail d’analyse. Et ce, toujours dans le but de brouiller les pistes.
Le groupe Thalos de Cisco qualifie Romberik de morceau de malware complexe conçu pour s’emparer des droits d’accès à des services accessibles via un navigateur Web et d’exfiltrer des données sensibles vers un serveur pirate.
Une méthode similaire à Dyre. A la différence que ce dernier malware vise en priorité les données bancaires. Rombertik, lui, collecte sans complexe tout élément en provenance de n’importe quel sites Web.
Le terrain est vraiment miné pour déloger le malware. Si Rombertik considère que sa mission de backdoor à but d’espionnage est vraiment compromise il optera alors pour une solution radicale.
Le malware va tenter de détruire le Master Boot Record, correspondant à la zone d’amorçage pour exploiter un disque dur. Après une phase de reboot automatique à l’insu de l’utilisateur, l’ordinateur sera inutilisable.
Cette vélocité redoutable est un signe particulier de Rombertik.
Pour éviter ce genre de mésaventures, il vaut mieux rappeler à tout utilisateur de disposer d’un bon logiciel anti-virus sur son poste et d’éviter de cliquer sur des pièces jointes douteuses d’un mail émanant d’une personne ou d’une adresse mail inconnues ou suspectes.
« C’est mieux quand c’est dit. Y’a plus qu’à »
(Crédit photo : Shutterstock.com – Droit d’auteur : Spectral-Design)
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
![](data:image/svg+xml;charset=utf-8,<svg height="468px" width="654px" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
