Nuova Minaccia Rombertik

 

Proto: N010515. 

Con la presente desideriamo avvisarLa che nell’ultimo periodo stiamo registrando la presenza di campagne spam atte alla proliferazione di una nuova minaccia denominata Rombertik

Il malware è di tipologia Trojan/Stealer ed ha come obiettivo primario l’intercettazione ed il furto di informazioni sensibili e credenziali di accesso inserite all’interno del browser web degli utenti infetti. Per raggiungere questo obiettivo, Rombertik è in grado di inserirsi all’interno dei browser comunemente in uso nei sistemi Windows come Chrome, Firefox e Internet Explorer e di catturare qualsiasi contenuto d’interesse durante la navigazione. Tale comportamento non è focalizzato unicamente a portali bancari ed interessa anche ulteriori risorse fruite tramite connessioni sicure HTTPS.

Le campagne spam riconducibili alla propagazione della minaccia risultano accomunate dalla presenza di file eseguibili infetti mascherati da finti documenti PDF all’interno di archivi compressi. Per questa ragione Yoroi consiglia di segnalare l’eventuale ricezione di allegati inattesi e di controllare l’effettiva tipologia del file ricevuto cliccando con il tasto destro sul file ed entrando nella voce proprietà, evitando di aprire l’allegato qualora presentasse “Tipologia del File” differente da “Documento Adobe Acrobat (.pdf)“. 
Nelle seguenti immagini viene mostrato il dettaglio di un esempio di file Rombertik infetto mascherato da documento PDF ed in seguito quello di un documento PDF genuino:


Esebuibile Rombertik mascherato da Documento PDF 


Documento PDF genuino



Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati server.  Yoroi consiglia di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso.

Per avere un indice di minaccia in tempo reale si consiglia di visitare il sito www.yoroi.company e di cliccare sul link: Show YOROI Cyber Security Index (presente nel riquadro rosso in alto a destra).