Huis > Cyber ​​Nieuws > Ramnit Trojan Botnet Launched, 100 000 Computers reeds besmet
CYBER NEWS

Ramnit Trojan Botnet Gelanceerd, 100 000 Computers reeds besmet

De Ramnit-malware (ook bekend als Virus.Ramnit.J) als een van de gevaarlijkste banktrojans die wereldwijd talloze infecties veroorzaakt. De nieuw ontdekte Black botnet is gevonden te worden gemaakt door dezelfde instelling voor collectieve. Ons artikel geeft details over de dreiging.




Black Botnet gemaakt door de Ramnit Hackers

Een gevaarlijke nieuwe bedreiging genaamd de Black botnet is gemeld door de security community. Het werd gevonden in een grootschalige aanval campagne die actief is geweest voor twee maanden - de rapporten blijkt dat er 100 000 systemen. De analisten hebben ontdekt dat het botnet maakt gebruik van dezelfde C&C-servers die gebruikt in eerdere aanvallen in verband met de bancaire Trojan. Een onderzoek naar de server geeft aan dat zij actief is sinds ten minste maart 6 2018. In het begin van de aanval hebben de hackers een lage aantal infecties gebruikt. Het lijkt erop dat de belangrijkste doel is om een ​​aangepaste versie van de Ramnit Trojan te leveren.

Verwante Story: Kronos Banking Trojan gelijke tred houdt met Osiris

Een interessant feit is dat de Zwarte botnet versleutelt het verkeer tussen de host en de server met behulp van een RC4 cipher. Er zijn een aantal verschillende kenmerken die het te identificeren:

  • Veel van de verzamelde monsters te gebruiken hardcoded domeinnamen.
  • De C&C-servers zijn gevonden niet te uploaden / downloaden extra modules.
  • Alle extra componenten zijn gebundeld in één pakket.
  • De Ramnit banking Trojan wordt gebruikt om een ​​andere malware genaamd leveren Ngioweb

De daadwerkelijke Ngioweb malware functioneert als een proxy server die eigen binaire protocollen bedacht twee afzonderlijke lagen van encryptie. Er zijn twee modi kan worden gebruikt om de proxy te bedienen. Het feit dat de Ngioweb monsters worden verpakt samen met de Ramnit Trojan geeft de zekerheid analisten het idee dat de hoofdverdeler methode is door middel van een botnet infectie of een andere phishing e-mail campagne.

De eerste heet reguliere back-connect proxy waarbij er een verbinding naar een trap-1 C&C server en een externe host. Dit zorgt voor data-overdracht op een veilige manier, evenals de toegang tot de interne middelen van het netwerk waar de geïnfecteerde gastheer verblijft.

Het tweede type werkingsmodus heet Relay Proxy en het wordt beschouwd als krachtiger. Het maakt het mogelijk in wezen de Black botnet exploitanten te bouwen geheel “kettingen” volmachten en verbergen hun diensten achter het bot IP-adres.

Het belangrijkste uitgangspunt van de Black botnet is om de Ngioweb malware te starten. Als het eenmaal is gestart, wordt gestart talrijke processen en injecteert zichzelf in-systeem gebundeld of door de gebruiker geïnstalleerde toepassingen. De volgende stap is om zich te laten om willekeurige commando's uit te voeren, zoals gevraagd door de exploitanten. Het zal ook besmetten de belangrijkste browser gebruikt door de gebruikers. Het is geprogrammeerd om zichzelf te installeren als een aanhoudende dreiging door het manipuleren van de Startup-instellingen, het toevoegen van een geplande taak en de bijbehorende Windows-register sleutel.

Al met al blijkt dat de criminele collectieven blijven zoeken naar nieuwe instrumenten en methoden om banking Trojans verspreiden ontwikkelen.

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...