Ramnit, nova campanha massiva de malware já infetou 100 mil dispositivos

A nova campanha massiva do malware Ramnit já infetou mais de 100 mil dispositivos, avança a Check Point. Os utilizadores e as empresas devem tomar precauções perante este possível ataque de grande escala.

Este malware é uma ferramenta avançada com funções de rootkit para os cibercriminosos. Não é detetável pelos antivírus, e acontece por inserção na internet e pela utilização de comunicações encriptadas.

O Ramnit é um worm que foi detetado pela primeira vez em 2011 e que afeta o Windows. Já foi utilizado para realização de atividades criminosas, como por exemplo monitorização da navegação web do sistema infetado e detetar visitas a páginas de banca online; manipulação de páginas web de bancos com o objetivo de parecerem legítimas; roubo de cookies de sessão de browsers para poder substituir a vítima em sites seguros; monitorização dos discos rígidos do computador, assim como roubar ficheiros com palavras-chave.

“Black”, o novo botnet do Ramnit

O trojan Ramnit faz com que os dispositivos infetados operem como um botnet altamente centralizado, mesmo que a sua arquitetura implique uma divisão noutras redes independentes.

Recentemente, foi encontrado um servidor do Ramnit que não está relacionado com o “Demetra” o botnet que foi mais utilizado pelo worm. De acordo com os nomes do domínio em que é resolvida a direção do IP do servidor, este pretende controlar também bots antigos que foram detetados pela primeira vez em 2015.

Este servidor está ativo desde 6 de março de 2018, mas não tinha chamado à atenção até que em maio e julho cerca de 100 mil computadores foram infetados.

Este botnet tem características distintas:

Muitas amostras utilizam nomes de domínios codificados em vez do DGA (Algoritmo de Geração de Domínios). O servidor não carrega módulos como o VNC e rouba passwords ou efetua FtpGrabber.

Os módulos adicionais (FTPServer, WebInjects) estão integrados num kit de Ramnit.
O Ramnit é utilizado como instalador de outro malware com o nome de Ngioweb.

A Check Point já detetou sinais do Ngioweb inseridas no Ramnit em ataques binários que provavelmente foram difundidos como campanhas de spam. No entanto, o Ngioweb é distribuído principalmente através do botnet “Black”.

O vírus cria uma cadeia de processos para inserir o código nos dispositivos. Em primeiro lugar, insere um código no processo recém-criado ao utilizar uma técnica de esvaziamento dos processos (“process hollowing”). Depois, o malware recorre a uma aplicação predeterminada para abrir ficheiro com a extensão .html, e realiza as principais ações maliciosas.