Accueil > Nouvelles Cyber > Lancement du botnet du cheval de Troie Ramnit, 100 000 Ordinateurs Déjà Infected
CYBER NOUVELLES

Ramnit cheval de Troie Botnet Lancé, 100 000 Ordinateurs Déjà Infected

Le malware Ramnit (également connu sous le nom de Virus.Ramnit.J) comme l'un des chevaux de Troie bancaires les plus dangereux, il est connu pour causer de nombreuses infections dans le monde. La nouvelle découverte botnet noire a été trouvé à effectuer par le même collectif. Notre article donne des détails sur la menace.




Botnet Noir Fabriqué par les pirates informatiques Ramnit

Une nouvelle menace dangereuse appelée botnet noire a été rapporté par la communauté de sécurité. Il a été trouvé dans une grande campagne d'attaque qui a été actif pendant deux mois - les rapports indiquent qu'il ya 100 000 systèmes. Les analystes ont constaté que le botnet utilise le même C&serveurs C que ceux utilisés dans les attaques précédentes associées au cheval de Troie bancaire. Une enquête sur le serveur montre qu'il est actif depuis au moins Mars 6 2018. Au début de l'attaque, les pirates ont utilisé un faible nombre d'infections. Il semble que son objectif principal est de fournir une version personnalisée du cheval de Troie Ramnit.

histoire connexes: Kronos Banque cheval de Troie à Osiris Évolue

Un fait intéressant est que le botnet noir encrypte le trafic entre l'hôte et le serveur en utilisant un algorithme de chiffrement RC4. Il existe plusieurs caractéristiques distinctes qui identifient:

  • La plupart des échantillons collectés utilisent des noms de domaine hardcoded.
  • Le C&serveurs C ont été trouvés pas télécharger / télécharger des modules supplémentaires.
  • Tous les composants supplémentaires sont regroupés dans un seul paquet.
  • Le cheval de Troie bancaire Ramnit est utilisé pour fournir un autre logiciel malveillant appelé Ngioweb

L'actuel logiciels malveillants Ngioweb fonctionne comme un serveur proxy qui a mis au point ses propres protocoles binaires avec deux couches distinctes de cryptage. Il existe deux modes principaux qui peuvent être utilisés pour faire fonctionner le proxy. Le fait que les échantillons Ngioweb sont emballés avec le cheval de Troie Ramnit donne les analystes de sécurité l'idée que la principale méthode de distribution est par une infection botnet ou d'une campagne e-mail de phishing alternatif.

Le premier est appelé régulière back-connexion proxy dans lequel il établit une connexion à un étage-1 C&serveur C et un hôte distant. Cela permet de transférer des données de manière sécurisée, ainsi que l'accès aux ressources internes du réseau où réside hôtes infectées.

Le second mode de type d'opération est appelée relais Proxy et il est considéré comme plus puissant. Il permet essentiellement aux opérateurs de réseaux de zombies noirs pour construire ensemble “Chaînes” de procurations et cacher leurs services derrière l'adresse IP bot.

La prémisse principale du botnet Black est de lancer le logiciel malveillant Ngioweb. Une fois qu'il est lancé, il va commencer de nombreux processus et s'injecter dans le système fourni ou des applications installées par l'utilisateur. L'étape suivante consiste à se permettre d'exécuter des commandes arbitraires comme demandé par les opérateurs. Il sera également infecter le principal navigateur utilisé par les utilisateurs. Il est réglé pour installer comme menace persistante en manipulant les paramètres de démarrage, l'ajout d'une tâche planifiée et la clé de registre de Windows associé.

Dans l'ensemble cela montre que les collectifs criminels continuent de développer de nouveaux outils et de méthodologies pour diffuser les chevaux de Troie bancaires.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord