De Ramnit-malware (ook bekend als Virus.Ramnit.J) als een van de gevaarlijkste banktrojans die wereldwijd talloze infecties veroorzaakt. De nieuw ontdekte Black botnet is gevonden te worden gemaakt door dezelfde instelling voor collectieve. Ons artikel geeft details over de dreiging.
Black Botnet gemaakt door de Ramnit Hackers
Een gevaarlijke nieuwe bedreiging genaamd de Black botnet is gemeld door de security community. Het werd gevonden in een grootschalige aanval campagne die actief is geweest voor twee maanden - de rapporten blijkt dat er 100 000 systemen. De analisten hebben ontdekt dat het botnet maakt gebruik van dezelfde C&C-servers die gebruikt in eerdere aanvallen in verband met de bancaire Trojan. Een onderzoek naar de server geeft aan dat zij actief is sinds ten minste maart 6 2018. In het begin van de aanval hebben de hackers een lage aantal infecties gebruikt. Het lijkt erop dat de belangrijkste doel is om een aangepaste versie van de Ramnit Trojan te leveren.
Een interessant feit is dat de Zwarte botnet versleutelt het verkeer tussen de host en de server met behulp van een RC4 cipher. Er zijn een aantal verschillende kenmerken die het te identificeren:
- Veel van de verzamelde monsters te gebruiken hardcoded domeinnamen.
- De C&C-servers zijn gevonden niet te uploaden / downloaden extra modules.
- Alle extra componenten zijn gebundeld in één pakket.
- De Ramnit banking Trojan wordt gebruikt om een andere malware genaamd leveren Ngioweb
De daadwerkelijke Ngioweb malware functioneert als een proxy server die eigen binaire protocollen bedacht twee afzonderlijke lagen van encryptie. Er zijn twee modi kan worden gebruikt om de proxy te bedienen. Het feit dat de Ngioweb monsters worden verpakt samen met de Ramnit Trojan geeft de zekerheid analisten het idee dat de hoofdverdeler methode is door middel van een botnet infectie of een andere phishing e-mail campagne.
De eerste heet reguliere back-connect proxy waarbij er een verbinding naar een trap-1 C&C server en een externe host. Dit zorgt voor data-overdracht op een veilige manier, evenals de toegang tot de interne middelen van het netwerk waar de geïnfecteerde gastheer verblijft.
Het tweede type werkingsmodus heet Relay Proxy en het wordt beschouwd als krachtiger. Het maakt het mogelijk in wezen de Black botnet exploitanten te bouwen geheel “kettingen” volmachten en verbergen hun diensten achter het bot IP-adres.
Het belangrijkste uitgangspunt van de Black botnet is om de Ngioweb malware te starten. Als het eenmaal is gestart, wordt gestart talrijke processen en injecteert zichzelf in-systeem gebundeld of door de gebruiker geïnstalleerde toepassingen. De volgende stap is om zich te laten om willekeurige commando's uit te voeren, zoals gevraagd door de exploitanten. Het zal ook besmetten de belangrijkste browser gebruikt door de gebruikers. Het is geprogrammeerd om zichzelf te installeren als een aanhoudende dreiging door het manipuleren van de Startup-instellingen, het toevoegen van een geplande taak en de bijbehorende Windows-register sleutel.
Al met al blijkt dat de criminele collectieven blijven zoeken naar nieuwe instrumenten en methoden om banking Trojans verspreiden ontwikkelen.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: