El virus Ramnit ja controla més de 100.000 dispositius
Aquest malware és una avançada eina per cibercriminals amb funcionalitats de rootkit. Els antivirus no el detecten, compta amb injecció web i ús de comunicacions xifrades.
Check Point ha informat sobre una nova campanya massiva del malware Ramnit, que ja compta amb més de 100.000 dispositius infectats. Ramnit és un cuc detectat per primera vegada el 2011 que afecta sistemes operatius Windows. Aquest malware és una eina avançada per cibercriminals amb funcionalitats de rootkit. Els antivirus no el detecten, compta amb injecció web i ús de comunicacions xifrades amb el centre de comandament i control.
Black, la nova botnet de Ramnit
El troià Ramnit fa que els equips infectats operin com una botnet altament centralitzada, encara que la seva arquitectura implica la divisió en altres xarxes independents. Recentment va ser descobert un servidor de Ramnit que no està relacionat amb ‘Demetra’, la botnet anteriorment més utilitzada pel cuc. Segons els noms del domini que es resolen en l’adreça IP d’aquest servidor, pretén controlar també els bots antics, que es van veure per primera vegada el 2015.
Aquest servidor ha estat actiu des del 6 de març de 2018 però no ha cridat l’atenció fins ara pel fet que entre maig i juliol va infectar a prop de 100.000 ordinadors.
Anàlisi del Malware
El virus crea una cadena de processos per a injectar el seu codi en els dispositius objectiu. En primer lloc, injecta el seu codi en el procés acabat de crear utilitzant una tècnica de buidatge de processos (‘process hollowing’). A continuació, el malware recorre a una aplicació predeterminada per obrir arxius amb l’extensió .html, i realitza les principals accions malicioses.
Capacitats de Ramnit
- Monitorització de la navegació web del sistema infectat i detecció de la visita de llocs de banca en línia
- Manipulació de webs de banca en línia amb l’objectiu de semblar legítimes
- Robatori de cookies de sessió dels navegadors web per poder suplantar la víctima en llocs segurs
- Escaneig dels discos durs de l’ordinador, així com robatori d’arxius basant-se paraules clau (com contrasenyes)
- Accés de forma remota als ordinadors afectats
- Recull de les credencials d’accés de clients FTP