O vírus Ramnit, que detetado em 2011, tem uma nova forma e até agora mais de 100 mil dispositivos foram controlados. O malware é uma sofisticada ferramenta com funções de um rootkit. Não é detetável pelos antivírus, e acontece por inserção na web e pela utilização de comunicações encriptadas. Foi aconselhado que os utilizadores e as empresas tomem mais precauções perante este possível ataque de grande escala dos criadores do vírus.
Como são estes Ciberataques
O Ramnit é um worm que foi detetado pela primeira vez em 2011 e que afeta os sistemas operativos Windows. Já foi utilizado para a realização de atividades criminosas, como por exemplo:
- A monitorização da navegação web do sistema infetado e detetar visitas a páginas de banca online.
- Manipulação de páginas web de bancos com o objetivo de parecerem legítimas
- Roubo de cookies de sessão de browsers para poder substituir a vítima em sites seguros.
- Monitorização dos discos rígidos do computador, assim como roubar ficheiros com palavras chave (como passwords)
- Acesso de forma remota aos computadores afetados.
- Recompilação das credenciais de acesso de clientes FTP.
Os investigadores da Check Point continuam a monitorizar a campanha. Até agora foi encontrado um novo botnet.
“Black”, o novo botnet do Ramnit
O trojan Ramnit faz com que os dispositivos infetados operem como um botnet altamente centralizado, mesmo que a sua arquitetura implique uma divisão noutras redes independentes.
Recentemente, foi encontrado um servidor do Ramnit que não está relacionado com o “Demetra”, o botnet que foi mais utilizado pelo worm. De acordo com os nomes do domínio em que é resolvida a direção do IP do servidor, este pretende controlar, também, os bots que foram detetados pela primeira vez em 2015.
Este servidor está ativo desde 6 de março de 2018, mas só chamou a atenção entre maio e julho quando cerca de 100mil computadores foram infetados.
Este botnet tem características distintas, como por exemplo:
- Muitas amostras utilizam nomes de domínios codificados em vez do DGA (Algoritmo de Geração de Domínios).
- O servidor não carrega módulos como o VNC e rouba passwords ou efetua FtpGrabber.
- Os módulos adicionais (FTPServer, WebInjects) estão integrados num kit de Ramnit.
- O Ramnit é utilizado como instalador de outro malware com o nome de Ngioweb.
A Check Point já detetou sinais do Ngioweb inseridas no Ramnit em ataques binários que provavelmente foram difundidos como campanhas de spam. No entanto, o Ngioweb é distribuído principalmente através do botnet “Black”.
Análise do Malware
O vírus cria uma cadeia de processos para inserir o código nos dispositivos. Em primeiro lugar, insere um código no processo recém-criado ao utilizar uma técnica de esvaziamento dos processos (“process hollowing”). Depois, o malware recorre a uma aplicação predeterminada para abrir ficheiro com a extensão .html, e realiza as principais ações maliciosas.
