O malware Ramnit (também conhecido como Virus.Ramnit.J) como um dos mais perigosos Trojans bancários, é conhecido por causar inúmeras infecções em todo o mundo. O botnet Preto recém-descoberto foi encontrado a ser feito pela mesma coletiva. Nosso artigo fornece detalhes sobre a ameaça.
Black Botnet criado por The Ramnit Hackers
Uma nova ameaça perigosa, chamada de botnet Black, foi relatada pela comunidade de segurança. Foi encontrado em uma campanha de ataque em larga escala que está ativa há dois meses - os relatórios indicam que há 100 000 sistemas. Os analistas descobriram que o botnet usa o mesmo C&Servidores C como aqueles usados em ataques anteriores associados ao Trojan bancário. Uma investigação no servidor mostra que ele está ativo desde pelo menos março 6 2018. No início do ataque, os hackers usaram um baixo número de infecções. Parece que seu objetivo principal é fornecer uma versão personalizada do Trojan Ramnit.
Um fato interessante é que o botnet Black criptografa o tráfego entre o host e o servidor usando uma cifra RC4. Existem várias características distintas que o identificam:
- Muitas das amostras coletadas usam nomes de domínio codificados.
- O C&Servidores C não foram encontrados para fazer upload / download de módulos adicionais.
- Todos os componentes adicionais são agrupados em um único pacote.
- O Trojan bancário Ramnit é usado para entregar outro malware chamado Estou na web
O real Malware Ngioweb funciona como um servidor proxy que desenvolveu seus próprios protocolos binários com duas camadas separadas de criptografia. Existem dois modos principais que podem ser usados para operar o proxy. O fato de as amostras do Ngioweb serem empacotadas junto com o cavalo de Troia Ramnit dá aos analistas de segurança a noção de que o principal método de distribuição é por meio de uma infecção de botnet ou uma campanha alternativa de phishing por e-mail.
O primeiro é chamado proxy regular-back-connect em que ele estabelece uma conexão com um estágio 1 C&Servidor C e um host remoto. Isso permite a transferência de dados de maneira segura, bem como acessar os recursos internos da rede onde reside o host infectado.
O segundo tipo de modo de operação é chamado Proxy de retransmissão e é considerado mais poderoso. Essencialmente, permite que os operadores de bots negros construam “correntes” de proxies e ocultar seus serviços atrás do endereço IP do bot.
A principal premissa do botnet Black é lançar o malware Ngioweb. Assim que for lançado, ele iniciará vários processos e se injetará em aplicativos agrupados no sistema ou instalados pelo usuário. O próximo passo é permitir-se executar comandos arbitrários conforme solicitado pelos operadores. Ele também infectará o navegador principal usado pelos usuários. Está configurado para se instalar como um ameaça persistente manipulando as configurações de inicialização, adicionar uma tarefa agendada e a chave de registro do Windows associada.
Em suma, isso mostra que os coletivos criminosos continuam a desenvolver novas ferramentas e metodologias para disseminar cavalos de Troia bancários.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: