Una nueva pieza de software espía que registra las pulsaciones del teclado y roba datos tiene un lado destructivo, si detecta que está siendo analizada y auditada tiene la capacidad de autolimpiarse.  

Un número limitado de muestras de malware llamado Rombertik fueron vistos por investigadores de Cisco Talos durante el inicio del año. El número relativamente pequeño indica que desde un inicio podría haberse utilizado en ataques dirigidos, pero Craig Williams, administrador de divulgación de seguridad de Cisco, dijo que los ataques son más amplios en este momento y no se centran en una ubicación geográfica en particular.

"Suena a cliché, pero esto es realmente una carrera armamentista digital y estamos viendo la próxima evolución aquí", dijo Williams. "Ya no están satisfechos con ser detectados y apagarse, ahora si el malware se da cuenta de que está siendo auditado, el binario destruirá el sistema. Es un caso en la cual los atacantes tratan de disuadir a los investigadores de ir detrás de una muestra".

Rombertik tiene una serie de características inusuales y complejas, dijo Williams, la mayoría diseñadas para evadir la detección y el análisis. Por ejemplo, una vez que el ejecutable malicioso se lanza desde un mensaje de phishing o spam, el malware genera volúmenes de código basura que tendrían que ser analizados (1264 kB que incluyen 75 imágenes y 8 mil funciones que nunca se utilizan).

Al igual que muchas otras piezas de malware, ésta también contiene capacidades para detectar y evadir sandboxes (entornos de pruebas). Contrario a otros que duermen durante un periodo de tiempo predeterminado antes de ejecutarse, Rombertik escribe un byte de datos al azar en la memoria unas 960 millones de veces, dijo Cisco. Los sandboxes no pueden diferenciar esta táctica puesto que el comportamiento es normal y, si todos esos datos se registran, el tamaño del registro excedería los 100 GB, lo que tomaría una media hora para escribirse en el disco duro. Este es sólo uno de los tres controles antianálisis, dijo Cisco.

Si el malware pasa estos controles, se instalará en la carpeta de inicio y en AppData para asegurar la persistencia. Eventualmente copiará el ejecutable por segunda vez y sobrescribirá la memoria del nuevo proceso con el ejecutable sin desempaquetar, dijo Cisco.

"El código desempaquetado es monstruoso y muchas veces tiene la complejidad del código antianálisis. Contiene docenas de funciones que se solapan entre sí y saltos innecesarios añadidos para aumentar la complejidad", dijo Talos. "El resultado es una pesadilla de un diagrama de flujo de control con cientos de nodos".

El malware, sin embargo, no se detiene con estas estrategias antianálisis. Calcula un hash de un recurso en la memoria y lo compara con la muestra sin desempaquetar, y si ha habido una alteración, primero intenta sobrescribir el Master Boot Record del disco físico. Si eso no funciona, destruye todos los archivos en la carpeta de inicio del usuario al cifrarla con una clave RC4 generada de forma aleatoria.