Die Ramnit-Malware (auch bekannt als Virus.Ramnit.J) Als einer der gefährlichsten Bankentrojaner ist bekannt, dass er weltweit zahlreiche Infektionen verursacht. Der neu entdeckte Schwarze Botnet wurde gefunden, durch die gleiche Tarif gemacht werden. Unsere Artikel gibt Details über die Bedrohung.
Schwarz Botnet Hergestellt von The Ramnit Hackers
Eine gefährliche neue Bedrohung namens der Schwarze Botnetz wurde von der Sicherheits-Community berichtet. Es wurde in einer groß angelegten Angriff Kampagne gefunden, die zwei Monate lang aktiv war - die Berichte zeigen, dass es 100 000 Systeme. Die Analysten haben herausgefunden, dass das Botnet die gleiche C verwendet&C-Server wie in der vorhergehenden Attacken im Zusammenhang mit dem Banking-Trojaner. Eine Untersuchung in den Server zeigt, dass es seit mindestens März aktiv war 6 2018. Am Anfang des Angriffs hat der Hacker eine geringe Anzahl von Infektionen. Es scheint, dass ihr Hauptziel ist es, eine angepasste Version des Ramnit Trojan zu liefern.
Eine interessante Tatsache ist, dass das Schwarze Botnet den Verkehr zwischen dem Host und dem Server unter Verwendung einer RC4-Chiffre verschlüsselt. Es gibt mehrere verschiedene Eigenschaften, die es zu identifizieren:
- Viele der gesammelten Proben verwenden hartcodierte Domain-Namen.
- Die C&C-Server wurde nicht zum Upload / Download-Zusatzmodule gefunden.
- Alle weiteren Komponenten sind in einem einzigen Paket gebündelt.
- Der Ramnit Banking-Trojaner verwendet eine andere Malware zu liefern genannt Ngioweb
die eigentliche Ngioweb Malware fungiert als Proxy-Server, der seine eigenen binären Protokolle mit zwei separaten Schichten von Verschlüsselungs erdacht. Es gibt zwei Hauptarten, die verwendet werden können, den Proxy zu betreiben. Die Tatsache, dass die Ngioweb Proben zusammen mit dem Ramnit Trojan werden gepackt gibt den Sicherheitsexperten die Vorstellung, dass die Hauptverteilungsverfahren ist durch eine Botnet-Infektion oder eine alternative E-Mail-Phishing-Kampagne.
Die erste heißt regular-Back-Connect-Proxy wobei es eine Verbindung zu einer Stufe C-1&C-Server und eine Remote-Host. Dies ermöglicht eine Datenübertragung auf eine sichere Weise, sowie die internen Ressourcen des Netzwerks, in dem die infizierten Host befindet Zugriff.
Der zweite Typ Betriebsart aufgerufen Relay-Proxy und es gilt als mächtiger. Es ermöglicht im Wesentlichen die Black Botnetz-Betreiber ganz zu bauen “Ketten” von Proxies und ihre Dienste hinter der Bot IP-Adresse verbergen.
Die wichtigste Prämisse des Schwarzen Botnet ist die Ngioweb Malware zu starten. Sobald es gestartet wird, wird es zahlreiche Prozesse starten und injiziert sich in system gebündelt oder vom Benutzer installierten Anwendungen. Der nächste Schritt ist, sich selbst zu erlauben, beliebige Befehle auszuführen, wie von den Betreibern angeforderten. Es wird auch die Haupt-Browser von den Benutzern verwendet infizieren. Es wird gesetzt, sich als installieren persistent Bedrohung durch die Starteinstellungen manipuliert, Geplante Aufgabe hinzufügen und den zugehörigen Windows-Registrierungsschlüssel.
in all All dies zeigt, dass die kriminellen Kollektiv weiterhin neue Werkzeuge und Methoden entwickeln, Banking-Trojaner zu verbreiten.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: