Ramnit-malware (også kendt som Virus.Ramnit.J) som en af de farligste banker er trojanske heste kendt for at forårsage adskillige infektioner over hele verden. er fundet Den nyopdagede Sort botnet, der skal foretages af den samme kollektive. Vores artikel giver detaljer om truslen.
Black botnet udformet af Ramnit Hackere
En farlig ny trussel kaldet Black botnet er blevet rapporteret af sikkerheden samfund. Det blev fundet i et storstilet angreb kampagne, der har været aktiv i to måneder - de rapporter viser, at der er 100 000 systemer. Analytikerne har fundet, at botnet bruger samme C&C servere som dem, der anvendes i tidligere angreb i forbindelse med bank Trojan. En undersøgelse af serveren viser, at det har været aktiv i hvert fald siden marts 6 2018. I begyndelsen af angrebet hackerne har brugt et lavt antal infektioner. Det fremgår, at dets vigtigste mål er at levere en tilpasset version af Ramnit Trojan.
Et interessant faktum er, at den sorte botnet krypterer trafikken mellem værten og serveren ved hjælp af en RC4 cipher. Der er flere forskellige karakteristika, der identificerer det:
- Mange af de indsamlede prøver bruger hardcodede domænenavne.
- C&C-servere er blevet fundet til at uploade / downloade ekstra moduler.
- Alle yderligere komponenter er bundtet i en enkelt pakke.
- Den Ramnit bank Trojan bruges til at levere en anden malware kaldet Ngioweb
Den aktuelle Ngioweb malware fungerer som en proxy-server, der har udviklet sin egen binære protokoller med to separate lag af kryptering. Der er to primære måder, der kan bruges til at betjene proxy. Den omstændighed, at Ngioweb prøverne bliver pakket sammen med Ramnit Trojan giver sikkerhed analytikere forestillingen om, at den vigtigste fordeling metode er gennem et botnet-infektion eller en alternativ phishing e-mail-kampagne.
Den første hedder regelmæssig-back-connect proxy hvori det etablerer en forbindelse til et trin-1 C&C server og en fjern vært. Dette giver mulighed for overførsel af data på en sikker måde, samt adgang til interne ressourcer i netværket, hvor den inficerede vært bosat.
Den anden type driftsart kaldes Relæ Proxy og det anses for mere kraftfuld. Det væsentlige tillader Black botnet operatører til at bygge hele “kæder” af fuldmagter og skjule deres tjenester bag bot IP-adresse.
Den vigtigste forudsætning af Black botnet er at lancere Ngioweb malware. Når det er lanceret det vil begynde mange forskellige processer og injicere sig selv ind i systemet-bundtet eller bruger-installerede applikationer. Det næste skridt er at tillade sig selv at udføre vilkårlige kommandoer som ønsket af operatørerne. Det vil også inficere den vigtigste anvendte browser af brugerne. Det er sat til at installere sig selv som en vedvarende trussel ved at manipulere indstillingerne Startup, tilføjer en planlagt opgave, og den tilhørende Windows Registry nøgle.
Alt i alt dette viser, at de kriminelle kollektiver fortsætte med at udvikle nye værktøjer og metoder til at sprede bank trojanere.