El malware Ramnit (también conocido como Virus.Ramnit.J) como uno de los troyanos bancarios más peligrosos, es conocido por causar numerosas infecciones en todo el mundo.. La botnet Negro recién descubierto se ha encontrado para ser hecha por el mismo colectivo. Nuestro artículo da detalles acerca de la amenaza.
Botnet negro Fabricado por Ramnit Los hackers
Una nueva amenaza peligrosa llamada la red de bots Negro ha sido reportado por la comunidad de seguridad. Se encontró en una campaña de ataque a gran escala que ha estado activo durante dos meses - los informes indican que hay 100 000 sistemas. Los analistas han encontrado que la botnet utiliza la misma C&servidores C como los utilizados en ataques previos asociados con el troyano bancario. Una investigación sobre el servidor muestra que ha estado activo desde al menos marzo 6 2018. En el comienzo del ataque de los piratas informáticos han utilizado un bajo número de infecciones. Parece que su principal objetivo es entregar una versión personalizada de la Ramnit de Troya.
Un hecho interesante es que la botnet Negro encripta el tráfico entre el anfitrión y el servidor que utiliza un sistema de cifrado RC4. Hay varias características distintivas que lo identifican:
- Muchas de las muestras recogidas utilizar nombres de dominio hardcoded.
- El C&servidores C no se han encontrado para cargar / descargar módulos adicionales.
- Todos los componentes adicionales se encuentran agrupados en un solo paquete.
- El troyano bancario Ramnit se utiliza para entregar otro malware llamado Ngioweb
El actual el malware Ngioweb funciona como un servidor proxy que ha ideado sus propios protocolos binarios con dos capas separadas de cifrado. Hay dos modos principales que se pueden utilizar para operar el proxy. El hecho de que las muestras Ngioweb están siendo embalados conjuntamente con el Ramnit Troya da a los analistas de seguridad la idea de que el método de distribución principal es a través de una red de bots infección o una campaña de correo electrónico de phishing alternativa.
El primero se llama regulares de devolución de conexión de proxy en el que se establece una conexión con una etapa-1 C&servidor de C y un host remoto. Esto permite la transferencia de datos de una manera segura, así como acceder a los recursos internos de la red donde reside el huésped infectadas.
El segundo modo de tipo de operación se denomina proxy de retransmisión y se considera más potente. En esencia, permite a los operadores de redes de bots negros para construir toda “cadenas” de poderes y se esconden detrás de sus servicios de la dirección IP bot.
La premisa principal de la red de bots Negro es poner en marcha el programa malicioso Ngioweb. Una vez que se puso en marcha que comenzará a numerosos procesos e inyectar en el sistema en sí-incluido o aplicaciones instaladas por el usuario. El siguiente paso es permitir sí para ejecutar comandos arbitrarios a lo solicitado por los operadores. También puede infectar el navegador más utilizado por los usuarios. Se fija para instalarse como una persistente amenaza mediante la manipulación de la configuración de inicio, la adición de una tarea programada y la clave de registro de Windows asociado.
Con todo esto muestra que los colectivos criminales continúan desarrollando nuevas herramientas y metodologías para difundir troyanos bancarios.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: