Il malware Ramnit (noto anche come Virus.Ramnit.J) come uno dei trojan bancari più pericolosi è noto per causare numerose infezioni in tutto il mondo. La botnet nero appena scoperto è stato trovato per essere fatta dallo stesso collettivo. Il nostro articolo fornisce dettagli sulla minaccia.
Botnet Nero realizzato dal Ramnit Hackers
Una nuova pericolosa minaccia chiamato botnet Nero è stato riportato dalla comunità della sicurezza. E 'stato trovato in una campagna attacco su larga scala che è stato attivo per due mesi - i rapporti indicano che ci sono 100 000 sistemi. Gli analisti hanno scoperto che la botnet utilizza lo stesso C&server C come quelli utilizzati in attacchi precedenti associati con il Trojan bancario. Un'indagine server mostra che è stata attiva almeno dal marzo 6 2018. All'inizio dell'attacco gli hacker hanno usato un basso numero di infezioni. Sembra che il suo obiettivo principale è quello di offrire una versione personalizzata del Ramnit Trojan.
Un fatto interessante è che la botnet Nero cripta il traffico tra l'host e il server utilizzando un algoritmo RC4. Ci sono diverse caratteristiche distinte che identificano:
- Molti dei campioni raccolti utilizzare i nomi di dominio hardcoded.
- Il C&server C sono stati trovati non per caricare / scaricare moduli aggiuntivi.
- Tutti i componenti aggiuntivi sono raggruppati in un unico pacchetto.
- Il Trojan bancario Ramnit vengono usati per fornire un'altra chiamata di malware Ngioweb
L'attuale Ngioweb il malware funziona come un server proxy che ha messo a punto i propri protocolli binari con due strati separati di crittografia. Esistono due modalità principali che possono essere utilizzati per operare il proxy. Il fatto che i campioni Ngioweb vengono imballati insieme al Trojan Ramnit dà gli analisti di sicurezza l'idea che il metodo di distribuzione principale è attraverso un'infezione botnet o di una campagna di email di phishing alternativa.
Il primo si chiama regular-back-connect procura cui si stabilisce una connessione ad una fase-1 C&server di C e un host remoto. Ciò consente il trasferimento dei dati in modo sicuro, così come l'accesso alle risorse interne della rete in cui risiede ospiti infette.
La seconda modalità tipo di operazione è chiamata Relay Proxy ed è considerato più potente. Permette essenzialmente gli operatori botnet neri per costruire insieme “Catene” delle deleghe e nascondere i loro servizi dietro l'indirizzo IP bot.
La premessa principale della botnet Nero è quello di lanciare il malware Ngioweb. Una volta avviato inizierà numerosi processi e si iniettare nel sistema-pacchi o applicazioni installate dall'utente. Il passo successivo è quello di permettersi di eseguire comandi arbitrari come richiesto dagli operatori. Sarà anche infettare il browser principale utilizzato dagli utenti. Si trova di installarsi come persistente minaccia manipolando le impostazioni di avvio, l'aggiunta di un'attività pianificata e la chiave del Registro di sistema di Windows associato.
Tutto sommato, questo dimostra che i collettivi criminali continuano a sviluppare nuovi strumenti e metodologie per diffondere Trojan bancari.